Miszel03

Raporty FRST nie nadają się do pełnej oceny stanu zainfekowania dysków wirusem Ramnit. One mogą tylko wykazać, czy jest wpis rozruchowy wirusa (w Twoim przypadku wydaję się, że jest*). Ramnit to okropna infekcja, której bez wsparcia bootowalnego narzędzia antywirusowego nie wyleczę. Mogę co prawda usuwać infekcję właściwą w całości, lecz jakikolwiek kontakt z uruchomieniem pliku wykonywalnego (czyli nawet przeglądarki!) zakończy się reinfekcją. Schemat dezynfekcji jest następujący: Eliminacja infekcji Ramnit z poziomu bootowalnego. Skanowanie wszystkich dysków i leczenie plików do wyniku zero infekcji. Kontrola raportów, ewentualnie dalsze kroki. To scenariusz niezalecany, nigdy nie uczono mnie by to próbować leczyć. Najlepszy na ten typ wirusa jest kompleksowy format wszystkich dostępnych dysków stałych (widoczne u Ciebie są 2) oraz przenośnych. Napisz na co się decydujesz, czy na kompleksowy format dysków (zalecane), czy na dezynfekcję systemu (niezalecane). Oczywiście wszystkie pliki niewykonywalne będziesz mógł ze sobą zabrać - reszta do kasacji, ewentualnie leczenia. Piszesz, że to już trzeci raz - widzisz nie wszystko wyleczone, - jeden kontakt z plikiem wykonywalnym wystarczy. P.S: Niektóre pliki mogły (raczej są takie u Ciebie) zostać poważnie uszkodzone i ja nie jestem w stanie ich naprawić - są do kasacji. Nawet ja nie trzymam nigdzie tych szczepów wirusa - to ryzykowane nawet na VM, raz przyszło mi to na system pomimo dobrej izolacji. Niestety, ale to z mojej nie uwagi kopia pliku wykonywalnego została uruchomiona na właściwym systemie. * - C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hyxebmrt.exe Dla pewność (tzn. nie łudziłbym się o to, że to jednak nie to ścierwo ) jednak, że to Ramnit poproszę o analizę tego pliku w usłudze VirusTotal.com oraz Jotti. Po zakończonej procedurze z paska adresów URL skopiuj link i dołącz go do posta.

Raporty FRST kasuję - mają być bez dat, a po za tym brakuję trzeciego obowiązkowego raportu Shortcut generowanego przez FRST - dostarcz go proszę.

Problemy może powodować infekcja, która ustawiła w Twoim systemie szkodliwe proxy. Usuniemy ją i poobserwujemy. Jeśli problem nie ustąpi to przeniosę Twój temat do działu Sieci. Raport z GMERA co odpuszczę. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK. Microsoft Security Essentials to słaby produkt, nie zapewni ochrony zwłaszcza na systemie Windows 7. Tymczasem dezynfekcja. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Winlogon\Notify\igfxcui: igfxdev.dll [X] AutoConfigURL: [s-1-5-21-2207089635-1503414713-698261625-1000] => hxxp://noblok.net/wpad.dat?bd5c411bdd03a81408a05d261add880c26552627 ManualProxies: 0hxxp://noblok.net/wpad.dat?bd5c411bdd03a81408a05d261add880c26552627 Toolbar: HKU\S-1-5-21-2207089635-1503414713-698261625-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku S3 btmaudio; system32\drivers\btmaud.sys [X] S3 btmaux; system32\DRIVERS\btmaux.sys [X] S3 btmhsf; system32\DRIVERS\btmhsf.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 ibtusb; system32\DRIVERS\ibtusb.sys [X] S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\BatteryCare\WinRing0x64.sys [X] Task: {901B6C48-8116-4FB9-8A3B-1A508A30E8CF} - System32\Tasks\{7B695334-0ACD-4E6C-8DB4-CEC33B47A8BB} => pcalua.exe -a C:\Users\Gregor\AppData\Local\Temp\LXINST~1\INSTAL~1.EXE -d C:\Users\Gregor\AppData\Local\Temp\LXINST~1 AlternateDataStreams: C:\ProgramData\TEMP:182F0EEA [121] testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika nointegritychecks: ==> "IntegrityChecks" [funkcja wyłączona] RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

OK, z tym, że akcję z AdwCleaner trzeba powtórzyć ponieważ chcę zresetować zasady IE. Jeśli chodzi zaś o sam system to nie jest źle. Jedyne co widać to szkodliwy, wstawiony przez adware profil do przeglądarki Google Chrome. Po wyleczeniu tego i zrobieniu kosmetyki temat przeniosę do działu Windows 10, bo to raczej nie rozwiąże problemu tytułowego. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellExecuteHooks: Brak nazwy - {E7869040-ECD1-11E6-AD72-64006A5CFC23} - -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-320741745-3816550499-1170541307-1001\Software\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: FIREFOX.EXE - D:\Program Files (x86)\Mozilla Firefox\firefox.exe S2 Coatoly; C:\Program Files (x86)\Pluteward\ChrCommunity.dll [X] U3 axedypow; C:\Users\admin\AppData\Local\Temp\axedypow.sys [56584 2017-04-08] (GMER) [brak podpisu cyfrowego] Task: {F313A926-5D13-4870-A13E-AC5D7B5EE0A5} - \Driver Booster SkipUAC (admin) -> Brak pliku Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\Users\admin\Favorites\Microsoft bCentral.lnk C:\Users\admin\Desktop\Baria — skrót.lnk C:\Users\admin\AppData\Roaming\IObit\Advanced SystemCare V7\Advanced SystemCare 9.lnk DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Kompleksowo wymień profil w przeglądarce Google Chrome, gdyż obecny jest zarażony. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Na nowym profilu polecam zainstalować rozszerzenie uBlock Origin. blokujące reklamy o podłożu nieinfekcyjnym. 4. Pobierz AdwCleaner uruchom go i kliknij Szukaj, a gdy uaktywni się przycisk Oczyść rozwiń pasek Opcje i zaznacz Resetuj zasady IE, następnie kliknij w Oczyść. Dostarcz raport z tego działania, które znajduję się w lokalizacja C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

System jest przerażająco zainfekowany przez adware i dezynfekcja może być oporna. Infekcja wszelaki począwszy od prefabrykowanych profilach w przeglądarkach do infekcji adresów DNS (są zagraniczne - Izrael oraz Holandia). Do poczytania, na przyszłość: KLIK. 1. Przez Panel sterowania odinstaluj adware / PUP: Browser-Security VidsqaurE Następnie przejdź do poniższych katalogów i z ich poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). C:\Program Files (x86)\UCBrowser\Security C:\Program Files\żěŃą C:\ProgramData\WindowsMsg 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {2D7DEADA-6630-4824-A8F5-1B161BB74221} - \KuaiZip_Update -> Brak pliku Task: {2E16D6D8-EC6C-4723-ADEC-D9314913158C} - System32\Tasks\{2CD4C103-6F92-5EA9-C790-6A2FBDD8D73C} => C:\Users\Kacper\AppData\Roaming\PRICEF~1\PRODUC~1.EXE Task: {3BBE577F-0019-4825-94E5-10472AFC3D0C} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-04-08] (UC Web Inc.) Task: {3F18417A-0ECC-402F-8AEC-BD3682E0036B} - System32\Tasks\KacperDeprehensionIllegiblyV2 => Rundll32.exe GhostlyGuardhouse.dll,main 7 1 Task: {43611C83-5F51-4C6F-BAD3-937969300360} - \osTip -> Brak pliku Task: {540FBDF9-B27A-4B9C-9FB6-AA9903038292} - \UCBrowserUpdaterCore -> Brak pliku Task: {7FBB4D51-7F87-46A9-A19A-B566A02E717D} - System32\Tasks\En9IpgiXoZLe => en9ipgixozle.exe Task: {8174900A-E5A0-4E01-930B-0724EBAAF7F1} - \UCBrowserUpdater -> Brak pliku Task: {F1EE5A54-9BAD-452C-A887-FD18D50303CB} - System32\Tasks\Coasuent Monitor => C:\Program Files (x86)\Zoqusedrerbash\xarergoy.exe [2017-04-08] (Glarysoft Ltd) Task: {F67A3E67-11B5-46FA-8DF6-B990CA671411} - System32\Tasks\Shofsy => "msiexec" /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=SAMSUNGXSP2514N_S08BJ1HL312211&d=20170408 /q Task: C:\Windows\Tasks\{2CD4C103-6F92-5EA9-C790-6A2FBDD8D73C}.job => C:\Users\Kacper\AppData\Roaming\PRICEF~1\PRODUC~1.EXE C:\Users\Kacper\AppData\Roaming\PRICEF~1 C:\Program Files (x86)\UCBrowser\Security C:\Program Files (x86)\Zoqusedrerbash WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [msiql] => C:\Users\Kacper\AppData\Local\Temp\00008959\msiql.exe [2072064 2017-04-08] () HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\chrome.exe /AUTORUN C:\ProgramData\WindowsMsg HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [apphide] => C:\Program Files (x86)\ttt\uc.exe [139350 2017-04-05] () C:\Program Files (x86)\ttt HKLM\...\Providers\zy7w25lt: C:\Program Files (x86)\Coasuent Monitor\local64spl.dll [307200 2017-04-08] () C:\Program Files (x86)\Coasuent Monitor AppInit_DLLs: C:\ProgramData\Quotenamron\Vilala.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zimlax.dll => Brak pliku ShellExecuteHooks: Brak nazwy - {2D5D8F5C-1485-11E7-A215-64006A5CFC23} - C:\Users\Kacper\AppData\Roaming\Coehaplahaph\Ganagfory.dll -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-04-08] () GroupPolicyScripts: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-04-08] () R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [599440 2017-02-15] () S2 En9IpgiXoZLe Updater; C:\Program Files (x86)\En9IpgiXoZLe Updater\En9IpgiXoZLe Updater.exe [X] R2 GoogleChromeUpService; C:\ProgramData\service.exe /s GoogleChromeUpService /uid:51504 /local:br [X] R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) S3 RTL85n64; system32\DRIVERS\RTL85n64.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] 2016-06-06 15:05 - 2016-06-06 15:05 - 6863360 _____ () C:\Users\Kacper\AppData\Roaming\agent.dat 2016-06-06 15:05 - 2016-06-06 15:05 - 0067968 _____ () C:\Users\Kacper\AppData\Roaming\Config.xml 2016-06-06 15:04 - 2016-06-06 15:05 - 0014448 _____ () C:\Users\Kacper\AppData\Roaming\InstallationConfiguration.xml 2016-06-06 15:04 - 2016-06-06 15:04 - 0128512 _____ () C:\Users\Kacper\AppData\Roaming\Installer.dat 2016-06-06 15:05 - 2016-06-06 15:05 - 0018432 _____ () C:\Users\Kacper\AppData\Roaming\Main.dat 2016-06-06 15:05 - 2016-06-06 15:04 - 0792064 _____ () C:\Users\Kacper\AppData\Roaming\MathRunzap.exe 2016-06-06 15:05 - 2016-06-06 15:05 - 1757907 _____ () C:\Users\Kacper\AppData\Roaming\MathRunzap.tst 2016-06-06 15:05 - 2016-06-06 15:05 - 0005568 _____ () C:\Users\Kacper\AppData\Roaming\md.xml 2016-06-06 15:05 - 2016-06-06 15:05 - 0126464 _____ () C:\Users\Kacper\AppData\Roaming\noah.dat 2016-06-06 15:05 - 2016-06-06 15:05 - 2279413 _____ () C:\Users\Kacper\AppData\Roaming\Opeex.bin 2016-06-06 15:05 - 2016-06-06 15:05 - 0032038 _____ () C:\Users\Kacper\AppData\Roaming\uninstall_temp.ico 2017-04-08 11:00 - 2017-04-08 10:42 - 00797672 _____ (深圳市史宾赛科技有限公司) C:\Users\Kacper\AppData\Local\FlowSprit.dll 2017-04-08 11:00 - 2017-04-08 10:42 - 00516072 _____ (深圳市史宾赛科技有限公司) C:\Users\Kacper\AppData\Local\uninst.tmp 2017-04-08 10:39 - 2017-04-08 10:39 - 00092832 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys 2017-04-08 10:39 - 2017-04-08 10:39 - 00000837 _____ C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk 2017-04-08 10:39 - 2017-04-08 10:39 - 00000813 _____ C:\Users\Kacper\Desktop\żěŃą.lnk 2017-04-08 10:39 - 2017-04-08 10:39 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\Softlink 2017-04-08 10:39 - 2017-04-08 10:39 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\KuaiZip 2017-04-08 10:38 - 2017-04-08 10:40 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\UCChannel 2017-04-08 10:38 - 2017-04-08 10:38 - 00000000 __SHD C:\Users\Kacper\AppData\Local\svchost 2017-04-08 10:38 - 2017-04-08 10:38 - 00000000 ____D C:\Users\Kacper\AppData\Local\kemgadeojglibflomicgnfeopkdfflnw 2017-04-08 10:42 - 2017-04-08 10:42 - 00155168 _____ C:\Windows\system32\Drivers\flowhlp.dat 2017-04-08 10:41 - 2017-04-08 10:56 - 00000000 ____D C:\Program Files (x86)\UCBrowser 2017-04-08 10:41 - 2017-04-08 10:41 - 00000000 ____D C:\Users\Kacper\AppData\Local\UCBrowser 2017-04-08 10:39 - 2017-04-08 10:46 - 00000000 ____D C:\Program Files\żěŃą 2017-04-08 10:36 - 2017-04-08 10:36 - 00000000 ____D C:\Users\Kacper\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk 2017-04-08 10:35 - 2017-04-08 10:36 - 00000000 ____D C:\Program Files (x86)\En9IpgiXoZLe 2017-04-08 10:34 - 2017-04-08 10:56 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\Coehaplahaph 2017-04-08 10:34 - 2017-04-08 10:35 - 00000000 ____D C:\Users\Kacper\AppData\Local\Zerkerward 2017-04-08 10:34 - 2017-04-08 10:34 - 00005054 _____ C:\Windows\System32\Tasks\Shofsy Tcpip\..\Interfaces\{93854431-57D1-47E4-8E67-F0A94C40002A}: [NameServer] 82.163.142.8,95.211.158.136 CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Kompleksowo wymień profil w przeglądarce Google Chrome, gdyż obecny jest zarażony. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Na nowym profilu polecam zainstalować rozszerzenie uBlock Origin. blokujące reklamy o podłożu nieinfekcyjnym. 4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

System jest zainfekowany adware atakującym skróty przeglądarek oraz ich profile (to jest przyczyną problemu tytułowego). Od razu przechodzimy do działań. Do poczytania, na przyszłość: KLIK. 1. Spróbuj odnaleźć i uruchomić plik deinstalacyjny adware w tym katalogu: C:\Program Files\żěŃą (nazwa pliku zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {C8E6F3A9-D2E7-4CCC-A6A0-F3D585C4D6AA} - \CreateChoiceProcessTask -> Brak pliku ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\abcc729f78f1532b\Tomasz - Chrome.lnk -> C:\Program Files (x86)\Moncar\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [114] HKLM\...\Policies\Explorer: [ForceClassicControlPanel] 1 HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1 HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [NoInternetOpenWith] 1 HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [] HKLM\...\Providers\14yaqw65: C:\Program Files (x86)\Qerqay Helper\local64spl.dll ShellExecuteHooks: Brak nazwy - {223483BE-0D52-11E7-961E-64006A5CFC23} - -> Brak pliku C:\Program Files (x86)\Qerqay Helper ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-03-23] () C:\Program Files\żěŃą CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia U4 clr_optimization_v2.0.50727_32; Brak ImagePath U4 clr_optimization_v2.0.50727_64; Brak ImagePath U4 clr_optimization_v4.0.30319_32; Brak ImagePath U4 clr_optimization_v4.0.30319_64; Brak ImagePath U0 msahci; Brak ImagePath U3 pwdiqpoc; \??\C:\Users\Tom\AppData\Local\Temp\pwdiqpoc.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kompleksowo wymień profil w przeglądarce Google Chrome, gdyż obecny jest zarażony. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Na nowym profilu polecam zainstalować rozszerzenie uBlock Origin. blokujące reklamy o podłożu nieinfekcyjnym. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Ehh...no dobrze. Działania na tamtym forum zweryfikuję później, ale pewnie wszystko OK, bo Atis to doświadczony pomocnik. Nie potrzymam się od komentarza na temat DP. W ich asystentach pobierania znajdują się infekcje adware. Redakcja, czy tam "administracja" milczy na temat Asystetna. Śledzące klucze w rejestrze - oj tam, oj tam - nie przesadzajcie To, że zespól AdwCleaner (więc zespół Malwarebytes też) wykrywa ich komponenty już samo powinno dać o sobie znaki. Stanowczo odradzam korzystania z tego serwisu (nie mówię o forum i artykułach, a tylko o możliwości pobierania programów). Ja nie mówię, że to zły serwis. Bo artykuł i różne inne nowinki ma super, przyjemnie się czyta, sam korzystam. Natomiast serwis od drugiej strony, czyli od strony pobieranie softu to szemrana uliczka, do której lepiej nie wchodzić. Co do cracka - z nim jest zawsze problem (i tutaj pomyłka z mojej strony to nie jest crack Windows, a oprogramowanie Microsoft Office). Poszukał bym w jego katalogach pliku deinstalacyjnego (nazwa zbliżona do uninstall.exe i spróbował go uruchimić. Nazwa to KMS-R@1n. Pytanie tylko czy to nie jest przypadkiem celowe dzianie nielegalne? Jeśli tak to nie wiem jak zachowa się zcrackowany Office - może przestać działać. https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uważać/ Z raportów wyciągnąłem tylko poniższe elementy, ale to brutalny sposób usunięcia tego. Może zostać śmietnik w plikach i w rejestrze. Niemniej jednak poniższy skrypt wykonaj (instrukcja standardowa zapis jako Fixlist > wykonanie w FRST). CloseProcesses: CreateRestorePoint: R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2017-04-04] () [brak podpisu cyfrowego] 2017-04-04 23:27 - 2017-04-04 23:27 - 00026112 _____ C:\WINDOWS\KMS-R@1n.exe 2017-04-04 23:27 - 2017-04-04 23:27 - 00005120 _____ C:\WINDOWS\KMS-R@1nHook.exe 2017-04-04 23:27 - 2017-04-04 23:27 - 00004096 _____ C:\WINDOWS\KMS-R@1nHook.dll Task: {63C35938-00F8-4BEF-808D-78EF1CA63E57} - System32\Tasks\R@1n-KMS\Office16ProPlus => wmic FirewallRules: [{0ADB66AA-80AE-4EB4-87E3-14E2ABB08045}] => (Allow) C:\Windows\KMS-R@1n.exe FirewallRules: [{E4F70086-5463-4997-8D86-810D479F5FEE}] => (Allow) C:\Windows\KMS-R@1n.exe EmptyTemp:

OK.

Jest w porządku, drugim komputerem zajmę się prawdopodobnie już dziś Choroba powoli się wycofuję, wygląda na to, że antybiotyk zadziałał (zapalenie ucha środkowego). Dzięki!

System jest zainfekowany rosyjskojęzycznym adware. Do tego niestety widzę w systemie cracka Windows - ściągam tylko jego blokady, Ty sam musisz go odinstalować. Do poczytania, na przyszłość: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {48ECA5D7-214B-4956-BED4-5ADE1FF83B41} - System32\Tasks\wupdate => C:\Users\Michał\AppData\Local\wupdate\wupdate.exe [2017-04-04] () Task: {6E4C7717-8195-4E90-97D6-5872BE4185CC} - System32\Tasks\ComDev => C:\Users\Michał\AppData\Local\ComDev\ComDev.exe [2017-04-05] () ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008" HKU\S-1-5-21-3426176950-1069214683-2311523833-1001\...\Run: [hojrkulsqq] => explorer "hxxp://chaynacha.ru/?utm_source=uoua03&utm_content=cfb47dc403dd27f678f72bf6efa1e739&utm_term=7184AF6F038C7D5BA6DACDD98EDEFE3E&utm_d=20170404" HKLM\...\Winlogon: [userinit] C:\Users\Michał\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\Windows\system32\userinit.exe, C:\Users\Michał\AppData\Local\Kometa IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-3426176950-1069214683-2311523833-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=7184AF6F038C7D5BA6DACDD98EDEFE3E&utm_d=20170404 SearchScopes: HKU\S-1-5-21-3426176950-1069214683-2311523833-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B544CBC05-2FC3-4C99-8773-F690AEEAB7DC%7D&gp=811014 SearchScopes: HKU\S-1-5-21-3426176950-1069214683-2311523833-1001 -> {0FFC778B-D962-4881-80FE-EC098CB5461C} URL = SearchScopes: HKU\S-1-5-21-3426176950-1069214683-2311523833-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B544CBC05-2FC3-4C99-8773-F690AEEAB7DC%7D&gp=811014 R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Michał\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-04-04] (Mail.Ru) 2017-04-04 23:25 - 2017-04-04 23:25 - 00000000 ____D C:\Users\Michał\AppData\Local\Mail.Ru 2017-04-04 23:25 - 2017-04-04 23:25 - 00000000 ____D C:\ProgramData\Mail.Ru InternetURL: C:\Users\Michał\Favorites\Mail.Ru Агент - используй для общения!.url -> BASEURL: hxxp://agent.mail.ru URL: hxxp://agent.mail.ru/ru/download/agent_windows/download.html?sputnik=1 InternetURL: C:\Users\Michał\Favorites\Mail.Ru.url -> BASEURL: hxxp://www.mail.ru URL: hxxp://www.mail.ru/cnt/7861 InternetURL: C:\Users\Michał\Favorites\Links\Интернет.url -> URL: hxxp://chaynacha.ru/?utm_source=favorites03&utm_content=7790075e2b6899ec7954d0772c8e0271&utm_term=7184AF6F038C7D5BA6DACDD98EDEFE3E&utm_d=20170404 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W takim razie kończymy. Zastosuj DelFix (czyli kasacji używanych narzędzi) oraz zaktualizuj ważne programy - KLIK. Skasuj również punkty przywracania systemu - KLIK.

1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Podsumuj obecny stan systemu.

OK.

W takim razie kończymy. Zastosuj DelFix w celu kasacji używanych narzędzi.

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne, raczej bez związku z problemem. Temat przenoszę do działu Windows 7.

No, nie do końca. Na urządzenie I:\ zostały wykryte elementy infekcji. Podepnij to urządzenie i kliknij Clean w interfejsie USBFix. Dostarcz raport z tego działania. Nie jest to problem tylko musisz trochę poczekać. Są też inne tematy bez obsłużenia i one mają priorytet. Jestem chory i udzielam pomocy technicznej "na włosku".

System jest zainfekowany infekcją WMI atakująca skróty przeglądarek, ponad to widać tutaj adware podmieniające nazwy i certyfikat producenta. Twój opis pokrywa się ze stan systemu. Do poczytania, obowiązkowo: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...\Run: [] => [X] ShellExecuteHooks: Brak nazwy - {8F0F267E-12E9-11E7-A647-64006A5CFC23} - C:\Users\nathi\AppData\Roaming\Rekerghareday\Thaferknicik.dll -> Brak pliku C:\Users\nathi\AppData\Roaming\Rekerghareday SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U3 kfrdipoc; C:\Users\nathi\AppData\Local\Temp\kfrdipoc.sys [56584 2017-04-04] (GMER) [brak podpisu cyfrowego] Task: {EE84446A-DC92-4481-A800-49646812DDD7} - System32\Tasks\Checuphckunution Schedule => C:\Program Files (x86)\Serentarepisp\xckeq.exe C:\Program Files (x86)\Serentarepisp WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\nathi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\nathi\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\nathi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\nathi\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\nathi\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\nathi\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ C:\Users\nathi\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\nathi\AppData\Local\Mozilla C:\Users\nathi\AppData\Roaming\Mozilla C:\Users\nathi\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze, z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Podsumuj obecną sytuację systemu i napisz czy problem ustąpił.

Problemem są zarażone skróty przeglądarek oraz ustawione szkodliwe serwery proxy. Szybko się z tym uporamy. Do poczytania, obowiązkowo: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D ShortcutWithArgument: C:\Users\Paweł\Desktop\Gry\Worms 3D.lnk -> C:\Program Files (x86)\Team17\Worms 3D\Launcher.exe (Team17 Software Ltd) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17\Worms 3D\Worms 3D.lnk -> C:\Program Files (x86)\Team17\Worms 3D\Launcher.exe (Team17 Software Ltd) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D AutoConfigURL: [s-1-5-21-933518959-968290592-3554862803-1000] => hxxp://noblok.biz/wpad.dat?a422f42f11764d45c507324bcf14605427002099 ManualProxies: 0hxxp://noblok.biz/wpad.dat?a422f42f11764d45c507324bcf14605427002099 S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] U3 pgddqpoc; \??\C:\Users\PAWE~1\AppData\Local\Temp\pgddqpoc.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Games\Age of Empires II\.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Games\Age of Empires II\Age of Empires II Readme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Games\Age of Empires II\Age of Empires II.lnk C:\Users\Paweł\Desktop\różne\automatyka\Skrót do M4.JM2.JS03 Czujniki zbliżeniowe C3.lnk RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Na forum panuj zasada: jeden problem = jeden temat. Posty wydzielam w osobny temat. Dostarcz brakujący raport GMER. Masz możliwość dostarczenia raportów z używanych narzędzi antywirusowych?

Używaj opcji Edytuj. Posty łącze. Wklej jego zawartość na wklej.org

Dziwne...nie widać niczego podejrzanego już. Sprawdzimy globalnie rejestr i wszystkie pliki. Na której przeglądarce to występuję? Kojarzysz adres 172.168.0.2? Jest amerykański i ustawiony, lecz wygląda na martwy. Celowo go kiedyś tam dawałeś? Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). nova.rambler.ru;.ru;nova Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. Powtórz to działania również dla opcji Szukaj w Plikach (Search Files), raport też dostarcz (SearchFiles.txt).

Nie dostarczyłeś z tego raportu, więc musimy to powtórzyć. W raportach nadal widać infekcję adware i trzeba się z tym uporać szybko. GMER nie wykrył rootkita, a ukryte usługi adware, które usuwam. Do poczytania: KLIK. Akcja. 1. Spróbuj uruchomić pliki deinstalacyjne (nazwa zbliżona do uninstall.exe) z poniższych folderów. C:\Program Files\UCBrowser C:\Program Files\żěŃą 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM\...\Providers\8ius33qf: C:\Program Files\Liertherjubtion Log\local32spl.dll [275968 2017-03-31] () ShellExecuteHooks: Brak nazwy - {D0F35EEE-15B7-11E7-B58E-64006A5CFC23} - C:\Users\Mr. Robot\AppData\Roaming\Anerposyreegety\Reefercharumase.dll -> Brak pliku C:\Program Files\Liertherjubtion Log C:\Users\Mr. Robot\AppData\Roaming\Anerposyreegety GroupPolicy: Ograniczenia ? SearchScopes: HKU\S-1-5-21-2595376921-211916493-2743171331-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF NewTab: Mozilla\Firefox\Profiles\p5wnm392.default -> hxxp://www.initialsite123.com/?z=d4042d0a4f81f892779abebg8z4t5e2t6m1c1o5w4b&from=clc&uid=WDCXWD1600BEVS-00RST0_WD-WXE608NW7046W7046&type=hp FF DefaultSearchEngine: Mozilla\Firefox\Profiles\p5wnm392.default -> initialsite123 FF SelectedSearchEngine: Mozilla\Firefox\Profiles\p5wnm392.default -> initialsite123 FF Homepage: Mozilla\Firefox\Profiles\p5wnm392.default -> hxxp://www.initialsite123.com/?z=d4042d0a4f81f892779abebg8z4t5e2t6m1c1o5w4b&from=clc&uid=WDCXWD1600BEVS-00RST0_WD-WXE608NW7046W7046&type=hp R0 flowhlp; C:\Windows\System32\drivers\flowhlp.dat [134248 2017-03-31] () [brak podpisu cyfrowego] C:\Windows\system32\drivers\KuaiZipDrive.sys U3 agxdiaoc; C:\Users\MR92DE~1.ROB\AppData\Local\Temp\agxdiaoc.sys [104960 2017-03-31] (GMER) [brak podpisu cyfrowego] S1 ucdrv; \??\C:\Program Files\UCBrowser\Security:ucdrv-x86.sys [X] C:\Program Files\UCBrowser 2017-03-31 17:35 - 2017-03-31 17:18 - 00797672 _____ (深圳市史宾赛科技有限公司) C:\Users\Mr. Robot\AppData\Local\FlowSprit.dll 2017-03-31 17:35 - 2017-03-31 17:18 - 00516072 _____ (深圳市史宾赛科技有限公司) C:\Users\Mr. Robot\AppData\Local\uninst.tmp 2017-03-31 17:20 - 2017-03-31 17:20 - 00002160 _____ C:\Users\Mr. Robot\Desktop\搜狗高速浏览器.lnk 2017-03-31 17:20 - 2017-03-31 17:20 - 00001399 _____ C:\Users\Mr. Robot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SogouExplorer.lnk 2017-03-31 17:15 - 2017-03-31 17:15 - 00000000 ____D C:\Users\Mr. Robot\AppData\Local\UCBrowser 2017-03-31 17:14 - 2017-03-31 17:14 - 00000000 ____D C:\Users\Mr. Robot\AppData\Local\Reerqerghtkomise 2017-03-31 17:14 - 2017-03-31 17:14 - 00000000 ____D C:\Program Files\Drewespgrerwey 2017-03-31 17:11 - 2017-03-31 17:11 - 00001063 _____ C:\Users\Mr. Robot\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk 2017-03-31 17:11 - 2017-03-31 17:11 - 00001039 _____ C:\Users\Mr. Robot\Desktop\żěŃą.lnk 2017-03-31 17:10 - 2017-03-31 17:10 - 00000000 ____D C:\Program Files\żěŃą Task: {DF5E982F-630E-46BE-904D-23F6491397AF} - System32\Tasks\Open URL by RoboForm => Rundll32.exe url.dll,FileProtocolHandler "hxxp://www.roboform.com/test-pass.html?aaa=KICMMMJMLJOMJJLJGMLJCNNMLMMMPMCNLMJJLJOJCNNJLJOJMMCNOJIMLJJJIMOJGMJJLMPMOJMJJNJICMIMCNGMCNOMHMFMOMOMCNLMNMPMCNOMPMKMHMJMFMPMCNPMCNOMPMKMHMJMCNNMJNPICMPMFMEKMICNJJCKFMPMJNHICMEKMICNJJCKJNBJCMCLNIBNPNNKAJNJAJLIJNKJCMJNNICMJNDJCMPI (dane wartości zawierają 53 znaków więcej). EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną skasowane (KLIK). Menu Historia > Wyczyść historię przeglądania. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Źle Cię zrozumiałem - przepraszam. To, że czysty pendrive zachował swoją zawartość potwierdza wynik pomyślny dezynfekcji. Teraz tylko czekam na raport z zarażonego P.S: To ciekawe co piszesz, Kaspersky to bez dwóch zdań lider technologi zabezpieczających. Najlepsi analitycy i eksperci. Ich produkt chroni, bo to widać, ale coś z ich supportem chyba się dzieję

Sztywno nie widać konkretnie tego wariantu, oczywiście pomijając resztki po innym adware. Sadzę, że on siedzi gdzieś w preferencjach przeglądarki - łatwo się z tym uporamy. Do poczytania: KLIK. Dezynfekcja. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {3F8283E6-BB51-42B5-AA06-BF567CB4AA64} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku Task: {BF48AE0A-915E-47E5-B3F8-5E17EB8D4B8E} - \896M269M920t149 -> Brak pliku HKLM-x32\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> {4ACD6455-78D0-403D-B2CF-5AB8B8BA3556} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKLM -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF SearchScopes: HKLM-x32 -> {4ACD6455-78D0-403D-B2CF-5AB8B8BA3556} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKLM-x32 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF SearchScopes: HKU\S-1-5-21-2767056382-3334839136-4099837286-1002 -> {4ACD6455-78D0-403D-B2CF-5AB8B8BA3556} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-2767056382-3334839136-4099837286-1002 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF S2 pproupd; "D:\Programy\PIT pro 2016\pproupd.exe" [X] S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X] C:\Users\KrzysztofN\Desktop\Komputer — skrót.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive\ArmA 2\BattlEye\Uninstall BattlEye.lnk C:\ProgramData\Intel\ExtremeGraphics\CUI\Resource\Grafika HD Intel®.lnk C:\Users\KrzysztofN\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_2958273420_pl.lnk C:\Users\KrzysztofN\AppData\Local\Microsoft\Windows\Application Shortcuts\SAMSUNGELECTRONICSCO.LTD.SamsungPrinterExperience_3c1yjt4zspk6g\SamsungPrinterExperience.ln C:\Users\KrzysztofN\AppData\Local\Microsoft\Windows\Application Shortcuts\Microsoft.WindowsPhone_8wekyb3d8bbwe\windowsphone.App.lnk C:\Users\KrzysztofN\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\KrzysztofN\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\KrzysztofN\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\KrzysztofN\AppData\Local\Mozilla C:\Users\KrzysztofN\AppData\Roaming\Mozilla C:\Users\KrzysztofN\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.