Miszel03

OK, zamykam.

Raporty nie wykazują aktywen oznak infekcji, do zrobienia poprawki (m.in sprzątnie po infekcji adware). Jeśli po nich nic się nie zmieni to temat przenosie do działu Windows 10. 1. Włącz przywracanie systemu. 2. Widzę, że był używany wątpliwy skaner SpyHunter, zalecam zastosować SpyHunterCleaner. 3. Zresetuj synchronizacje Google Chrome - KLIK. 4. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2591462745-379856482-4169875411-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-2591462745-379856482-4169875411-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] U3 uglcipow; C:\Users\Tomek\AppData\Local\Temp\uglcipow.sys [56584 2017-03-26] (GMER) [brak podpisu cyfrowego] U0 aswVmm; Brak ImagePath Task: {0F299198-C5BC-4DF6-A185-428C649EA738} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {194827B1-BFC7-4356-942D-1C194834E213} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1E348C5F-1E46-40AE-BA5D-AC84CEABDEB9} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {262B808D-71FA-4509-BBF8-4F2514799DAB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {27C2EA7E-1DF9-4666-93C5-E849B2BABE53} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4F84C07C-9D5F-47AA-9E58-D92361C759D2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {553FDF4B-68C9-4288-8F9E-900A22E8D3F1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {85D3B558-2F33-422F-AFFD-CE6C6F8A7DAC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {AC334C23-0E23-4727-83BD-A608AF8CAD9D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {BA6AFC33-3EA3-4445-B9CD-5CE807D7D1D3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {DD4C3F93-1343-43F7-959E-E6C27173546E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku C:\Users\Tomek\Start Menu\Programs\SpyHunter\SpyHunter.lnk C:\Users\Tomek\Start Menu\Programs\SpyHunter\Uninstall.lnk CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811036" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Tomek\AppData\Local\Mozilla C:\Users\Tomek\AppData\Roaming\Mozilla C:\Users\Tomek\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zastosuj AdwCleaner z opcji Oczyść. Dostarcz raport z przeprowadzenia tego działania. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Cześć, przepraszam za ominięcie. Wydawało mi się, że przetworzyłem już wszystkie tematy. Proszę o dostarczenie nowych raportów FRST oraz GMER. Twój temat został wrzucony na priorytet.

Uważam, że jeśli nie czujesz się zbyt doświadczonym i ostrożnym obywatelem internetu, technologi to powinieneś się dodatkowo zabezpieczyć. Owszem, Windows 10 ma lepsze zabezpieczenia od poprzedników, ale pytanie czy wystarczające dla wszystkich? Myślę, że nie. Z darmowego zestawu polecę Ci zainstalowanie rozwiązania Avast. To przyjemny i w miarę skuteczny program. Do tego dołożyłbym skaner na żądanie - Malwarebytes AntiMalware w wersji Free. Przeglądarką Google Chrome z rozszerzeniem uBlock Origin i BitDefender Traffic Light* na pokładzie. * - jeśli będzie się dublował z Avastem to po testach możesz go usunąć.

To już wyleczone, bo tak też myślałem, więc podałem instrukcje od razu. To normalne, bo bank szyfruję połączenie, a inne strony - nie dokońca. Wygląda to już OK. Powiedz mi czy problem z otwierającymi się stronami i reklamami ustąpił. Nada paskiem zadań muszę pomyśleć, bo nic nie piszesz, żeby się naprawił. Myślałem, że to wina ograniczeń polityk. 1. Zagrożenia wykryte przez MBAM daj do kasacji. 2. Otwórz Notatnik w nim wklej: Task: {48B01F77-0A3F-4790-84ED-6232F95758FC} - System32\Tasks\flashplayerupdateservice => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog).

Nie, dostarcz nowy zestaw raportów FRST + GMER. Proszę również o wynik działania z MBAM. P.S: Tylko Ty masz dostęp do tego komputera? Nikt nie uruchomił przywracania systemu?

Raporty FRST wykonane na złych ustawieniach. Wykonaj nowe wg tej instrukcji: KLIK. Brakuję również raportu GMER - KLIK.

Została wprowadzona inwazyjna modyfikacja adware polegająca na mieszaniu w preferencjach przeglądarki. Mógłbym usunąć to ręcznie pobierając ten plik i go modyfikując, ale prościej będzie komplkesowo przeinstalować przeglądarkę. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Po tym działaniu będzie OK. Podsumuj stan systemu w Twoim odczuciu i czy problem ustąpił.

W systemie działa infekcja WMI (to jest odpowiedzialne za problem tytułowy) oraz adware PrinceFountain. Wymagana jest kompleksowa dezynfekcja systemu. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Przestarzałe i nieskuteczne już programy: Spybot - Search & Destroy. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {134FEE14-50A9-4A85-8BD5-217BC435227C} - Brak ścieżki do pliku Task: {6E545154-09B4-4E24-A7F1-9E028554B0AA} - System32\Tasks\{2F056534-01DC-B622-AFCE-5E896979A5CB} => C:\Users\Adam\AppData\Roaming\{2F056~1\PRICEF~1.EXE Task: {76F35F4F-F8AD-4B66-900B-7697FDEDB1D6} - \SystemSoundsService -> Brak pliku Task: {B739E838-71B3-476D-863A-EF706D0108EB} - System32\Tasks\Gedjoibb => C:\PROGRA~1\JYBKYE~1\Nucos.bat WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Adam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Adam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Adam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ RemoveDirectory: C:\Users\Adam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] ShellExecuteHooks: Brak nazwy - {94998030-0D55-11E7-8B10-64006A5CFC23} - -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku ShortcutTarget: mcserver.lnk -> C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\mcserver.exe (Brak pliku) S4 sptd2; System32\Drivers\sptd2.sys [X] C:\Users\Adam\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\mcserver.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor\Smart File Advisor Updater.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor\Startup Application Checker.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarki. Google Chrome Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Mozilla FireFox Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Brakuje logu FRST.

Wygląda na to, że jest OK. Podsumuj sytuację z Twojej strony.

Dostarcz raport z tego działania. W raportach widoczne jeszcze modyfikacje adware, m.in zarażona strona startowa. Widać również, że adware trochę zmodyfikowało skrót uruchamiający przeglądarkę - teraz nie możesz zobaczyć listy aplikacji i masz ograniczony dostęp do ustawień. Szybko się z tym uporamy. Do poczytania: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_Prot S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X] CustomCLSID: HKU\S-1-5-21-889502687-1621722843-2806320331-1000_Classes\CLSID\{FA8A4FC0-84BD-47F5-AF9F-6EFA6FED0DCF}\InprocServer32 -> Brak ścieżki do pliku ShortcutWithArgument: C:\Users\Magda\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list C:\Users\Magda\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rejestracja użytkownika drukarki Canon MG5600 series\Rejestracja użytkownika.LNK C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarki. -----> Google Chrome: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw jako domyślną przeglądarkę FireFoxa, a następnie znowu Google Chrome - to cofnie modyfikacje infekcji. -----> Mozilla FireFox: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Upewnij się, że program AdwCleaner już niczego nie wykrywa. Jeśli jednak coś wykrywa to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Teraz kiedy mam już normalny dostęp mogę powiedzieć, że infekcję adware się nie usunęły. Podejść drugie. P.S: Czy zagraniczne DNS są ustawieniem celowym? Jeśli to ustawienie celowe to usuń ze skryptu w pkt. 2 linijkę CMD: ipconfig /flushdns, a z AdwCleaner odznacz: Data Found: HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{79adc9dc-b9aa-4f4c-b16f-75f0e85bd3d7} [NameServer] - 82.163.142.8,95.211.158.136 Data Found: [x64] HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{79adc9dc-b9aa-4f4c-b16f-75f0e85bd3d7} [NameServer] - 82.163.142.8,95.211.158.136 Jeśli natomiast nie to nic nie rób tylko wykonaj wszystkie kroki. Paskiem zadań zajmiemy się na końcu - jak wyleczymy system. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [DESKTOP-5691JFE] => C:\WINDOWS\TEMP\g8657.tmp.exe [249344 2017-03-18] () HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\system: [NoDispAppearancePage] 0 HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoPreviewPane] 0 HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoTrayContextMenu] 0 HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoSetTaskbar] 0 HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoViewContextMenu] 0 HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoWinkeys] 0 HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoTrayItemsDisplay] 0 HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [HideClock] 0 HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [HideSCANetwork] 0 HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [HideSCAVolume] 0 ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX64.dll -> No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX32.dll -> No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX32.dll -> No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX32.dll -> No File HKU\S-1-5-21-1922636286-9306992-3665695711-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction Task: {17AB1F21-A5A2-4078-9A55-569E050388E5} - System32\Tasks\v4-0-30319\ngen => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD Task: {323BB2AD-D680-45C5-A445-C91DF7938EEB} - System32\Tasks\v4 => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD Task: {3E2D6A0F-9B89-44E8-B7C1-029AB44634FB} - System32\Tasks\7368e7341e2044H34 => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD Task: {7F1C774A-E1F5-4222-8A83-283FD2C72CBA} - System32\Tasks\ielowutil => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD Task: {DA7896D3-833F-4041-83F7-71E1E0B4F6BB} - System32\Tasks\QForlLgs0EYm => qforllgs0eym.exe Task: {F4F4A3E4-1AB0-41CB-AA9D-74E5D9245640} - System32\Tasks\ielowutil-exe => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD Task: {FC35E804-4A6F-476F-A80E-181C44C17C19} - System32\Tasks\v4-0-30319\mscorsvw => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD Task: {FDB06B8F-D88D-4CA6-9D10-B91200B34BED} - System32\Tasks\v4-0 => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD RemoveDirectory: C:\ProgramData\7368e7341e2044H34 ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Movie Maker.ln C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Photo Gallery.lnk C:\Users\damia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\damia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Program wiesza się na czyszczeniu plików tymczasowych. Usuń ze skryptu dyrektywę EmptyTemp: i wykonaj skrypt jeszcze raz. Następnie możesz przejść do wykonywania dalszych działań.

Skoro taki błąd wystąpił to dobrze, że pominąłeś - to i tak była tylko szczątka. Cześć wykonana pomyślnie, a cześć nie. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Uruchom wiersz poleceń CMD jako administrator, w oknie komend wklej: netsh winsock reset i kliknij ENTER. Po tym zabiegu uruchom ponownie system. 3. Zrób log FRST już bez Addition i Shortcut w celu oceny. Podsumuj obecny stan systemu.

Adware usunięte, teraz tylko szczątki dokasuję AdwCleaner. Coś poszło mimo wszystko nie tak z modyfikacją na profilach w przeglądarce i doszło do jakiś uszkodzeń. Wymagana wg mnie kompleksowa reinstalacja. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Kompleksowo przeinstaluj przeglądarkę Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Zrób log FRST już bez Addition i Shortcut.

W systemie widać infekcję adware, czyli m.in szkodliwe proxy, fałszywą przeglądarkę Google Chrome (a właściwie jej klona) i wiele więcej. Raczej szybko się z tym uporamy. Dość alarmujące jest to, że jest to drugi praktycznie identyczny przypadek na forum dziś i ja myślę, że zażarliście się z jednego źródła. Może Dobreprogramy? Jakieś cracki? Do poczytania: KLIK. 1. Spróbuj uruchomić ten plik deinstalacyjny: C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3682431006-442575408-3611827903-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3682431006-442575408-3611827903-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe => Brak pliku Task: {2F6551CE-3207-4D15-BB92-69B1A5F0F040} - System32\Tasks\{499C3D60-B08F-41BF-978A-50B4292B8AF3} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {07841A49-A64F-4790-A39C-5BF5A10C5AA8} - \YTAUpdate -> Brak pliku Task: {1D9F251B-5C37-4CD8-BA0F-9A3EFC27458F} - \YTAHelper -> Brak pliku Task: {A6B03982-0420-4F59-94F9-CDB6F02DE043} - \YTAUpdate_logon -> Brak pliku ShortcutWithArgument: C:\Users\UserPC\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list C:\Users\UserPC\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [116] AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [114] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-3682431006-442575408-3611827903-1000\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia AutoConfigURL: [s-1-5-21-3682431006-442575408-3611827903-1000] => hxxp://noblok.org/wpad.dat?06159ede6e6474357a54b6b3d50aa77d26699038 ManualProxies: 0hxxp://noblok.org/wpad.dat?06159ede6e6474357a54b6b3d50aa77d26699038 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> Brak pliku S3 HidNt; system32\DRIVERS\HIDNt.sys [X] S3 Mac606; system32\DRIVERS\Mac606.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] U3 ugrdapog; \??\C:\Users\UserPC\AppData\Local\Temp\ugrdapog.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2010 - Polski\Migracja ustawień niestandardowych\Migracja z poprzedniej wersji.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2010\Migrate Custom Settings\Export AutoCAD 2010 Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2010\Migrate Custom Settings\Import AutoCAD 2010 Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2010\Migrate Custom Settings\Migrate From a Previous Release.lnk C:\Users\UserPC\AppData\Roaming\Autodesk\AutoCAD 2010\R18.0\plk\Plotters\Dodaj ploter.lnk C:\Users\UserPC\AppData\Roaming\Autodesk\AutoCAD 2010\R18.0\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk C:\Users\UserPC\AppData\Roaming\Autodesk\AutoCAD 2010\R18.0\enu\Plotters\Add-A-Plotter Wizard.lnk C:\Users\UserPC\AppData\Roaming\Autodesk\AutoCAD 2010\R18.0\enu\Plotters\Plot Styles\Add-A-Plot Style Table Wizard.lnk CMD: netsh winsock reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść oraz zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą lub inną przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. Skromnie sugeruję by wybrać Google Chrome właśnie. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). program uruchamiający aplikacje chrome Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To nie jest możliwe, AdwCleaner to lekka instalacja - bez procesu gdy jest włączona. Proszę zainstalować, przeskanować system. Jeśli coś wykryje to dostarcz raport, jeśli nie to możesz go później odinstalować. Kolejne pytanie: wykonałeś pkt. 2? P.S: Ja Ci nie zlecam jakiś pseudo instrukcje tylko dosyć inwazyjne działania, dzięki którym wyleczymy system. Skoro nie będziesz miał zamiaru wykonywać moich instrukcji w całości to niestety, ale zrezygnuje z prowadzenia tego tematu.

TFC - już nierozwijane, raczej nie używaj. Czyści mniej co zwykła dyrektywa EmptyTemp: stosowana w skrypcie FRST. Temat przenoszę do działu Windows XP.

Rozumiem, że podczas działań z pkt. 3 nic nie zostało wykryte?

Brakuje trzeciego obowiązkowego raportu Shortcut genrowanego przez FRST - dołącz go.

W systemie widać infekcję adware, czyli m.in szkodliwe proxy, fałszywą przeglądarkę Google Chrome (a właściwie jej klona) i wiele więcej. Raczej szybko się z tym uporamy. Do poczytania: KLIK. 1. Widzę w systemie szczątki po wątpliwym skanerze. Sugeruję zastosować SpyHunterCleaner w celu całkowitej eliminacji go z systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: AutoConfigURL: [s-1-5-21-829155955-1858636651-191534281-1000] => hxxp://noblok.net/wpad.dat?c274c3df9e138728d05c7bb48471fdb826555353 ManualProxies: 0hxxp://noblok.net/wpad.dat?c274c3df9e138728d05c7bb48471fdb826555353 SearchScopes: HKU\S-1-5-21-829155955-1858636651-191534281-1000 -> DefaultScope 0633EE93-D776-472f-A0FF-E1416B8B2E3A URL = S3 WacHidRouter; system32\DRIVERS\wachidrouter.sys [X] S3 wacomrouterfilter; system32\DRIVERS\wacomrouterfilter.sys [X] 2017-03-22 19:13 - 2017-03-22 19:14 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\xxx\Desktop\SpyHunter-Installer.exe ShortcutWithArgument: C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Users\xxx\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Program uruchamiający aplikacje Chrome.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\SupportTasks\1\Zarejestruj się w sieci.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\PlayTasks\0\Graj.lnk C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\AmazonAssistant.lnk C:\Users\xxx\Start Menu\Programs\SpyHunter\SpyHunter.lnk C:\Users\xxx\Start Menu\Programs\SpyHunter\Uninstall.lnk C:\Users\xxx\Links\sounddata.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks\1\Zarejestruj się w sieci.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks\0\Graj.lnk C:\Users\xxx\AppData\Local\Microsoft\Windows\GameExplorer\{D26B1DCD-44C1-4CDD-87D9-101F94FD78BB}\PlayTasks\0\Zagraj.lnk C:\Users\xxx\AppData\Local\Microsoft\Windows\GameExplorer\{A98C0F2D-6C20-4049-B3BA-D60F0E9BD570}\PlayTasks\0\Zagraj.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\xxx\AppData\Local\Mozilla C:\Users\xxx\AppData\Roaming\Mozilla C:\Users\xxx\AppData\Roaming\Profiles RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść oraz zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą lub inną przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. Skromnie sugeruję by wybrać Google Chrome właśnie. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). program uruchamiający aplikacje chrome Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem tyłowy powoduje infekcja, po za tym widoczne liczne modyfikacje adware. Od razu przechodzimy do działań. P.S: Przepraszam za zwłokę w odpowiedzi i proszę jeszcze o informację czy adresy DNS ustawione na Hiszpanię - 212.166.64.1 są ustawieniem celowym? 1. Przez panel sterowania odinstaluj: Programy oflagowane, prawdopodobnie ze zintegrowanym adware / PUP: The Missing JSON Inspector, WordIntern.Uruchom deinstalator martwego adware: C:\Program Files (x86)\Torntv V9.0\Uninstall.exe. Widać szczątki po wątpliwym skanerze SpyHunter, zalecam zastosować SpyHunterCleaer. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1417911127-3688308230-4202644773-1002\...\Run: [GoogleChromeAutoLaunch_AFF635379450E8A09C6AA3E4F840658C] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [945496 2017-02-01] (Google Inc.) HKU\S-1-5-21-1417911127-3688308230-4202644773-1002\...\Run: [Efption] => regsvr32.exe C:\Users\Eliza\AppData\Local\Efption\tvkdiwdn.dll HKU\S-1-5-21-1417911127-3688308230-4202644773-1002\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll -> Brak pliku ShortcutTarget: Adobe Illustrator CC 2014 Crack And Serial Number Latest N Full Version Free Download.lnk -> C:\ProgramData\{c3c944f7-9008-8efc-c3c9-944f790013de}\Adobe Illustrator CC 2014 Crack And Serial Number Latest N Full Version Free Download.exe (Brak pliku) CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: [s-1-5-21-1417911127-3688308230-4202644773-1001] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.swellsearch.info/?l=1&q={searchTerms}&pid=22873&r=2015/03/11&hid=12861945587957269436&lg=EN&cc=PL&unqvl=84 BHO: Torntv V9.0 -> {11111111-1111-1111-1111-110511131190} -> C:\Program Files (x86)\Torntv V9.0\Torntv V9.0-bho64.dll => Brak pliku BHO: Internet Speed Checker -> {11111111-1111-1111-1111-110611171152} -> C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-bho64.dll => Brak pliku Toolbar: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1413973460&from=cor&uid=3219913727_198339_7C595B3A S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S3 DptfDevDram; \SystemRoot\system32\DRIVERS\DptfDevDram.sys [X] S3 DptfDevGen; \SystemRoot\system32\DRIVERS\DptfDevGen.sys [X] S3 DptfDevPch; \SystemRoot\system32\DRIVERS\DptfDevPch.sys [X] S3 DptfDevProc; \SystemRoot\system32\DRIVERS\DptfDevProc.sys [X] S3 DptfManager; \SystemRoot\system32\DRIVERS\DptfManager.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 npf; \??\C:\Windows\system32\drivers\npf.sys [X] R3 PCDSRVC{3B54B31B-D06B6431-06020200}_0; \??\c:\program files\dell\supportassist\pcdsrvc_x64.pkms [X] S1 {dc592624-f532-4311-9fc7-6920126fc404}Gw64; system32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys [X] CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{2B663ECE-5770-491c-A474-F98603C40681}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{2B93DB32-8D98-4438-93B5-5C2CC3441999}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{6813A122-4BBF-4408-8C87-07176246B992}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{697DE5F4-0D13-4608-9728-7539F704E51C}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{70A294B3-FE6F-4af9-9395-CFC58FC07C30}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{74562BED-63D6-4234-A386-937DB6FA38AE}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{7C90F737-950A-49eb-B6C1-EE1744C75E97}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{868D9612-74A1-405b-9758-369138103193}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{BB9F1D04-94AB-40b7-ABAE-33D2637F6340}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{CC3BE603-926A-40ae-9570-4258474F0364}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{DD0B2199-F2FD-41eb-B744-B06B100B9A43}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{DFAB83E9-EBA6-4425-928B-B15A57F39469}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{E27473C6-A63D-4b85-95FC-C7DE20306C0D}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{F5756047-E218-465a-AC4C-FD04238C4896}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{F9748CB6-1CCB-4557-905E-8D42C83AAEB6}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku CustomCLSID: HKU\S-1-5-21-1417911127-3688308230-4202644773-1002_Classes\CLSID\{FC072C1A-25CB-49e7-8F79-F2A8B8C3289D}\InprocServer32 -> c:\program files (x86)\adobe\acrobat dc\pdfmaker\autocad\2014\64\acrobatacadic.dbx => Brak pliku Task: {025DD45E-7C5B-41D8-B74A-A6B0158D90B8} - System32\Tasks\fl42d07r54EitTcxA => C:\Program Files (x86)\globalUpdate\Update\Install\{6D757C77-6F1E-4918-9ED2-144E9A92EA0B}\setup.exe Task: {0B1A95EA-6076-4D77-BB66-D47449D76228} - System32\Tasks\{447A47BF-D2C8-44E1-ADBB-4E857449215C} => pcalua.exe -a "C:\Program Files (x86)\Torntv V9.0\Uninstall.exe" -c /fromcontrolpanel=1 C:\Program Files (x86)\Torntv V9.0 Task: {16CB4580-580A-4CE7-9E52-0BBFCF410996} - System32\Tasks\msxDqHJf7LBa67g => C:\Program Files (x86)\globalUpdate\Update\Install\{B6303426-3F7B-4C60-8025-0F8163889D39}\setup.exe Task: {1BD5B55E-F075-4D7B-A4D3-4553E890E503} - System32\Tasks\5NedGow1aLBBggN => C:\Program Files (x86)\globalUpdate\Update\Install\{FB10D230-EF0C-4362-A3F6-F1317F82A8E6}\setup.exe Task: {4A3B5EC0-CE49-482D-82BD-E29D7E051F5D} - System32\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-6 => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-6.exe Task: {59994791-FBD8-4F68-AFD4-9BCEA1E16902} - System32\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-2 => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-2.exe Task: {65ED320D-33A4-4158-B456-719139EAD5BA} - System32\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-1 => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: {6BA24770-17BE-450F-AD78-443F8F4DA825} - System32\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-5 => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-5.exe Task: {734FE6BF-EE64-488E-A6DF-B22982F04E75} - System32\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-11 => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-11.exe Task: {A8D87A09-8DCF-4E11-9EF5-6C38380524D9} - System32\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-5_user => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-5.exe Task: {C853D53F-1E4C-4E31-983B-FC4E8048492A} - System32\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-7 => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-7.exe Task: {F489C159-13B3-4D6F-983A-AE6E556136B0} - System32\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-4 => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-4.exe Task: C:\Windows\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-1.job => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: C:\Windows\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-11.job => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-11.exe Task: C:\Windows\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-2.job => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-2.exe Task: C:\Windows\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-4.job => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-4.exe Task: C:\Windows\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-5.job => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-5.exe Task: C:\Windows\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-5_user.job => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-5.exe Task: C:\Windows\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-6.job => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-6.exe Task: C:\Windows\Tasks\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-7.job => C:\Program Files (x86)\Internet Speed Checker\5f3a9516-e3fd-4128-8dfa-20eb4ac27d94-7.exe C:\Users\Eliza\AppData\Local\Microsoft\Windows\ConnectedSearch\History\site_311272933_pl.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Eliza\AppData\Local\Mozilla C:\Users\Eliza\AppData\Roaming\Mozilla C:\Users\Eliza\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Jest już chyba w porządku. AdwCleaner nic nie wykrył, a działania wykonane pomyślnie. Proszę o końcowy skan za pomocą Malwarebytes AntiMalware (masz na dysku, więc tylko aktualizujesz barze danych). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. P.S: Przeinstalowałeś Mozille FireFox? Jakiś efekt?

Brakuje trzeciego obowiązkowego raportu Shortcut genrowanego przez FRST - dołącz go. Wstępnie powiem, że problem powodują infekcję, ale instrukcje podam dopiero wtedy gdy dostarczysz log Shortcut. uBlock Origin nie jest w stanie blokować reklam o podłożu infekcyjnym. W miarę możliwości proszę dostarcz raport z tych skanowań i dezynfekcji.