Miszel03

Źle postąpiłeś, usuwanie infekcji adware w taki sposób pozostawi za sobą wiele błędów i szczątek w systemie. Dostarcz raport. W systemie widoczne infekcje adware, które są winowajcami za występujące u Ciebie problemy. Zarażone skróty (infekcj WMI), plik Hosts, profil w przeglądarce Google Chrome oraz serwery proxy. Myślę, że szybko się z tym uporamy. Do poczytania: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3202557039-1415719484-1137328956-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\damci\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej). CustomCLSID: HKU\S-1-5-21-3202557039-1415719484-1137328956-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\damci\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej). CustomCLSID: HKU\S-1-5-21-3202557039-1415719484-1137328956-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\damci\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej). Task: {5BA502E7-EEEE-43EB-99D2-63F2A0D8A59F} - System32\Tasks\Reobock Verfier => C:\Program Files (x86)\Shunosyjibtain\xclerzertain.exe C:\Program Files (x86)\Shunosyjibtain WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\damci\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" ShortcutWithArgument: C:\Users\damci\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" RemoveDirectory: C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk HKLM\...\Providers\zd6bm6lx: C:\Program Files (x86)\Reobock Verfier\local64spl.dll [307712 2017-03-22] () C:\Program Files (x86)\Reobock Verfier ShellExecuteHooks: Brak nazwy - {81F2E2D8-0D4C-11E7-95B4-64006A5CFC23} - C:\Users\damci\AppData\Roaming\Coutering\Gronaght.dll -> Brak pliku GroupPolicyScripts-x32: Ograniczenia AutoConfigURL: [s-1-5-21-3202557039-1415719484-1137328956-1001] => hxxp://noblok.org/wpad.dat?8034ef0f75bd8cce94e0664cbddc89d626774097 ManualProxies: 0hxxp://noblok.org/wpad.dat?8034ef0f75bd8cce94e0664cbddc89d626774097 R2 WinSAPSvc; C:\Users\damci\AppData\Roaming\WinSAPSvc\WinSAP.dll [218624 2017-03-23] (Windows) [brak podpisu cyfrowego] R2 WinSnare; C:\Users\damci\AppData\Roaming\WinSnare\WinSnare.dll [775168 2017-03-23] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S4 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S2 Kyubey; C:\Users\damci\AppData\Roaming\Kyubey\Kyubey.exe -s [X] C:\Users\damci\AppData\Roaming\WinSAPSvc C:\Users\damci\AppData\Roaming\WinSnare U3 uwndypow; C:\Users\damci\AppData\Local\Temp\uwndypow.sys [56584 2017-03-23] (GMER) [brak podpisu cyfrowego] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\damci\AppData\Local\Mozilla C:\Users\damci\AppData\Roaming\Mozilla C:\Users\damci\AppData\Roaming\Profiles RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby. 3. Upewnij się, że AdwCleaner już niczego nie wykrywa. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie widzę w raportach nic niepokojącego. Dokonaj deinstalacji oprogramowania COMODO. Pamiętam, że miałem przypadek, że to właśnie źle skonfigurowane COMODO dawało taki efekt. Zbycho nic mi to nie mówi, te instrukcję zadawane tam wydają się być nieadekwatne do przedstawionej tu sytuacji.

Hmm...ale ten raport to Ty uzyskałeś z lokalizacji C:\KVRT_Data\Reports czyli w postaci zaszyfrowanej, a ja chcę go czytelnego. W interfejsie KVRT kliknij w Report, następnie spróbuj skopiować lub zrobić screena wynikom. P.S: Ten serwis uploudowy wygląda na straszenie oreklamowany i posiada dwa przyciski pobierania, czyli jeden prawdziwy, a drugi fałszywy, - do serwisu, który oszukuję użytkowników metodą Premium SMS. Korzystaj np. z MediaFire lub z MEGA.

Po proszę o adres punktu ksera, - spróbuję się z nimi skontaktować w tej sprawie. Wygląda to już w porządku. Infekcja usunięta z pendrive, a dane przywrócone. Proszę o podsumowanie obecnej sytuacji.

Powtórzę: najskuteczniejszy Anti-Ransomware to przechowywanie kopii danych po za systemem (tj. wcześniej już wspomniałem np. w chmurze, bo tam pliki są bezpieczne). EDIT: Infekcję dają o sobie znaki, jeśli coś jest podejrzane to izolacja i leczenie np. u nas...

Ta infekcja nie atakuję platformy Android w ogóle. Telefon jest bezpieczny. Jutro, może dziś wyślę do nich maila w tej sprawie. To ich obowiązek zapewnić bezpieczeństwo swoim klientom. Nie widzę coś tego załącznika z KVRT - dostarcz go. Jutro skomentuje resztę.

W systemie nadal widoczne infekcje adware, m.in szkodliwa modyfikacja pliku Hosts, przekonwertowanie przeglądarki Google Chrome z wersji Stabilnej do wersji Developer i wiele więcej. Dziwi mnie, że oby dwa wymienione przez Ciebie programy nic nie wykrywają. To zdecydowani liderzy. Czy na pewno korzystasz z aktualnej wersji i baz sygnatur wirusów? 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-3328366707-2419840197-3398982552-1002\...\Policies\Explorer: [] HKU\S-1-5-21-3328366707-2419840197-3398982552-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-3328366707-2419840197-3398982552-1002\...409d6c4515e9\InprocServer32: [Default-shell32] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [uchwyt nakładania ikony podpisu cyfrowego] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => -> Brak pliku SearchScopes: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Brak nazwy -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> Brak pliku SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT S3 GalaxyClientService; "C:\Program Files (x86)\GalaxyClient\GalaxyClientService.exe" [X] S3 GalaxyCommunication; "C:\ProgramData\GOG.com\Galaxy\redists\GalaxyCommunication.exe" [X] U1 aswbdisk; Brak ImagePath S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X] CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{13009989-EFB5-48C9-8BD2-943E0392BD71}\InprocServer32 -> C:\Program Files\Autodesk\Inventor View 2013\Bin\RxAppCtrl.Ocx => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Gawor\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Gawor\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Gawor\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Gawor\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Gawor\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Gawor\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{81D07C3D-0350-11D3-B7C2-0060B0EC020B}\InprocServer32 -> C:\Program Files\Autodesk\Inventor View 2013\Bin\RxAppCtrl.Ocx => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{C343ED84-A129-11d3-B799-0060B0F159EF}\InprocServer32 -> C:\Program Files\Autodesk\Inventor View 2013\Bin\RxApprenticeServer.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Gawor\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Gawor\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Gawor\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3328366707-2419840197-3398982552-1002_Classes\CLSID\{E1C85E9F-60B2-4007-80C3-2C5E09474C3B}\InprocServer32 -> C:\Program Files\Autodesk\Inventor View 2013\Bin\RxInventorUtilities.dll => Brak pliku Task: {DDE8C8AA-AE2D-4F9F-BE41-5A156A273B7C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{B5A17A77-DBDA-421D-9AC6-742A5C078962}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{B5A17A77-DBDA-421D-9AC6-742A5C078962}.exe DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Gawor\AppData\Local\Mozilla\Firefox C:\Users\Gawor\AppData\Roaming\Mozilla\Firefox C:\Users\Gawor\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Ze względu na szkodliwą zmianę opisaną przeze mnie na początku wymagana jest kompleksowa reinstalacja przeglądarki. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). reimageplus Obok FRST] powstanie raport SearchReg.txt - zaprezentuj go na forum. To działania powtórz również, ale dla wyszukiwania w plikach Szukaj Plików / Search Files. Też dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie widać szczątki po infekcji i najpierw zajmiemy się tym. Problem tytułowy pomogą Ci rozwiązać w dziale Software, ew. przed tym możesz spróbować dokonać kompleksowej reinstalacji przeglądarki. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-4286388990-3003455752-1806294516-1002_Classes\CLSID\{e8c77137-e224-5791-b6e9-ff0305797a13}\InprocServer32 -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect64.dll => Brak pliku Task: {4548AA68-5AB7-48E1-9681-5598B2A49DBA} - \UpgradePro-S-3411724994 -> Brak pliku Task: {4895DAFA-659E-48BF-BAAF-7836060EF33D} - \{676967AF-380B-7BE5-37F1-7E3350FDC966} -> Brak pliku Task: {B7D82D1C-A8D3-4F96-A9A0-76E614C446A8} - System32\Tasks\{67E132E1-AFF3-36E4-4941-4FAA2B89A354} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\d69899e9\f1a11dca.dll" Task: C:\windows\Tasks\UpgradePro-S-3411724994.job => c:\programdata\trusted publisher\enforcerpremium\UpgradePro.exe U/schedule /profile c:\programdata\trusted publisher\enforcerpremium\3411724994.ini Task: C:\windows\Tasks\{676967AF-380B-7BE5-37F1-7E3350FDC966}.job => C:\Users\CIERNI~1\AppData\Roaming\UPDATE~1\updane.exe HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-4286388990-3003455752-1806294516-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4286388990-3003455752-1806294516-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4286388990-3003455752-1806294516-1002 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = SearchScopes: HKU\S-1-5-21-4286388990-3003455752-1806294516-1002 -> {A25AC313-DD19-4238-ACA2-401D6BEE4321} URL = S3 hwusbdev; \SystemRoot\system32\DRIVERS\ewusbdev.sys [X] S3 cpuz140; C:\Users\Ciernik81\AppData\Local\Temp\cpuz140\cpuz140_x64.sys [43840 2017-03-17] (CPUID) EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Całość wygląda już w porządku, a skoro problem ustąpił to będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi). Malwarebytes AntiMalware możesz już odinstalować.

Nie wykluczone, że to infekcja blokuje GMER'A. Odpuszczam jego analizę. System wraz z urządzeniami przenośnymi został zainfekowany robakiem Gamerue. Wymagana jest dokładna dezynfekcja. Punkt ksero jest potencjalnym źródłem infekcji i proszę o jego adres, - spróbuję się z nimi skontaktować. Dodatkowo: wszystkie urządzenia mające styczność z zarażonymi urządzeniami przenośnymi mogą być również zagrożone. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: Startup: C:\Users\Erazer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () C:\Users\Erazer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X] C:\Users\Erazer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk C:\Users\Erazer\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Erazer\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Erazer\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Erazer\AppData\Local\Mozilla C:\Users\Erazer\AppData\Roaming\Mozilla C:\Users\Erazer\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Z podpiętymi urządzeniami zarażonymi w interfejsie programu USBFix zastosuj opcję Clean. Dostarcz raport z tego działania. Uwaga: aplikacja bez ostrzeżenia usuwa foldery o nazwie muza / muzyka. Nazwę należy zmienić na czas dezynfekcji. 3. Całościowo przeskanuj system za pomocą Kaspersky Virus Removal Tool (KVRT). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Wyniki muszą zostać zweryfikowane. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK.

I to mnie interesuję najbardziej. System wyczyszczony, więc kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj ważne programy - KLIK. To już jest robota dla działu Windows 10 - i tak też przenoszę Twój temat.

Sam system nie został zainfekowany - pendrive owszem (infekcja robakiem Gamarue) i to dosyć obszernie. Pliki odzyskamy, ale dopóki komputer w Twoim miejscu pracy (bo zakładam, że dostarczone raporty są z urządzenia domowego) nadal będzie zainfekowany to sytuacja powtórzy się w trakcie podpinania jakiegoś urządzenia USB. Jeśli w firmie macie dział IT to zgłoś ten problem. Jeśli natomiast nie macie, a Twój pracodawca pozwoli na udostępnienie raportów FRST oraz GMER to mogę również i tam usunąć infekcję. Ew. przez PW mogę to zrobić, bo zachodzi wyjątek sytuacji związany z ochroną danych firmowych. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR NewTab: Default -> Not-active:"chrome-extension://goidfapdhpcfnkbdgeggcnkhkblmbffk/stubby.html" U3 kxldypog; \??\C:\Users\JANUSZ~1\AppData\Local\Temp\kxldypog.sys [X] C:\Users\Janusz042\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1076774695_pl.lnk C:\Users\Janusz042\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Janusz042\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Janusz042\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\Janusz042\AppData\Local\Microsoft\Windows\Application Shortcuts\26720RandomSaladGamesLLC.HeartsDeluxe_kx24dqmazqk8j\App.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Z podpiętym urządzeniem F:\ w interfejsie programu USBFix zastosuj opcję Clean. Dostarcz raport z tego działania. Uwaga: aplikacja bez ostrzeżenia usuwa foldery o nazwie muza / muzyka. Nazwę należy zmienić na czas dezynfekcji. 3. Całościowo przeskanuj system za pomocą Kaspersky Virus Removal Tool (KVRT). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Wyniki muszą zostać zweryfikowane. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Napisz czy problem ustąpił i jaki jest aktualny stan systemu.

Witam, przerażam za opróżniania. Jest już OK, będziemy powoli kończyć dezynfekcję. 1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Podsumuj obecną sytuację systemu.

Raczej zostawiłbym rozwiązanie ESET, ale korzystał bym bardziej rozważniej z internetu. W większośći przez pobieranie zarażonych danych z internetu (m.in korzystanie również z asystentów pobierania programów - KLIK). Nie jestem w stanie podać dokładnie nazwy infekcji, ale myślę, że prewencyjna zmiana haseł w serwisach jest jak najbardziej zalecana. W takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi). Malwarebytes możesz już odinstalować.

Problem powoduję szczątkowe zadanie w Harmonogramie Zadań. Oprócz tego widoczne są również inne szczątki po adware. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Zbędniki: Akamai NetSession Interface. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1918565633-1493267212-3019253050-1001\...\Policies\Explorer: [] SearchScopes: HKU\S-1-5-21-1918565633-1493267212-3019253050-1001 -> DefaultScope {B0BD1DD3-0347-4836-A401-22ECE3D50396} URL = SearchScopes: HKU\S-1-5-21-1918565633-1493267212-3019253050-1001 -> {B0BD1DD3-0347-4836-A401-22ECE3D50396} URL = R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] Task: {225008FC-04E6-4407-AB2E-D166A8803556} - \WindowsUpda2ta -> Brak pliku Task: {391A2D6D-161E-4D74-ABF4-CFC7E22F6FCB} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\Users\Michał\Desktop\WiL\Sem. IV\Przodki\Przodki_sem_4_cz1\BUDOWNICTWO OGÓLNE II\BO pytania na egzamin — skrót.lnk C:\Users\Michał\Desktop\WiL\Sem. IV\Przodki\Przodki_sem_4_cz1\BUDOWNICTWO OGÓLNE II\pytania moje — skrót.lnk C:\Users\Michał\Desktop\WiL\Sem. IV\Przodki\Przodki_sem_4_cz1\BUDOWNICTWO OGÓLNE II\Wiązania-pospolite — skrót.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Rozumiem.

Jest w porządku. Jak oceniasz obecną sytuację systemu?

Zaznacz pierwszą z góry opcję (NASTĘPNIE KLIK W OK), bo to zapewni ewentualną możliwość przywrócenia systemu wraz z poprzednimi wersjami plików i ustawień systemowych. Wygląda to już w porządku. To jedno zagrożenie wykryte przez AdwCleaner możesz dać do kasacji. Powiedz jak oceniasz obecną sytuację.

HitmanPro: do usunięcia tylko sekcja cookies. Kończymy, zastoju DelFix (kasacja używanych narzędzi) oraz zaktualizuj ważne programy - KLIK. MBAM oraz HitmanPro możesz odinstalować.

1. Wszystkie zagrożenia wykryte przez Malwarebytes daj do kasacji (to witaminki adware, raczej nie związane z incydentem). Dostarcz raport z usuwania. 2. Raporty wyglądają OK, chyba nie doszło do infekcji. Zmień hasła logowania we wszystkich serwisach (na mailu również). System ostatecznie przeskanuj za pomocą HitmanPro. Niczego nie usuwając dostarcz raport. Tzn. to jest spam email roznoszący złośliwe oprogramowanie - to jest pewne.

Najmocniej przepraszam za przegapienie tematu. Komentując te raporty: w systemie nie jest tak czysto jak poprzednio. Są ustawione szkodliwe proxy oraz widoczne infekcji adware. 1. Włącz przywracania systemu. 2. Przez panel sterowania odinstaluj: Adware / PUP: Update for PriceFountain. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-1754145634-2526965675-1269536130-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 AutoConfigURL: [s-1-5-21-1754145634-2526965675-1269536130-1000] => hxxp://no-block.biz/wpad.dat?e545a3a96472d0b709d1d435f517deda23419413 ManualProxies: 0hxxp://no-block.biz/wpad.dat?e545a3a96472d0b709d1d435f517deda23419413 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-1754145634-2526965675-1269536130-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - Brak pliku FF SelectedSearchEngine: Mozilla\Firefox\Profiles\x0y3wxnh.default -> YAC Safe Search FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\106101552.js [2017-01-09] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\106101552.cfg [2017-01-09] C:\Users\Admin\AppData\Roaming\Microsoft\Windows\SendTo\YAC Desktop.lnk RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Kamil gdybym mógł coś z czystym sumieniem do tego zadania polecić to bym to zrobił na samym początku. Przeczytaj post Ichito.

Usługa w porządku. FSS wykrył tylko jakieś nieprawdiłowości w usłudze zapory Windows. 1. Podaj mi pełny wygląd poniższego klucza, robisz wszystko tak samo jak poprzednio, czyli po przez SystemLook. :reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\\EnableFirewall /s 2. Uruchom MBAM-Clean z poziomu trybu awaryjnego (kliknij klawisz F8 przed startem systemu), a następnie już z poziomu trybu normalnego przejdź do instalacji MBAM i skanowania.