Miszel03

Oczywiście, bez zaznaczonej opcji skanu Shortcut raport się nie utworzy.

FRST sam niczego nie naprawia on tylko generuje raporty systemowe, a odpowiednio wykwalifikowana osoba na ich podstawie stwierdza problem. Brakuje trzeciego raportu generowanego przez FRST, czyli Shortcut - uzupełnij proszę.

W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Zaktualizuj również ważne programy - KLIK.

Ad. 1 To oznacza, że jakiś skaner źle to próbuje usuwać (kasacji całej usługi, a nie tylko ustawienia DependOnSerivce). Ad. 2 OK. Jest coraz lepiej, jedziemy dalej. 1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Birdjobsc DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Birdjob DeleteKey: HKEY_USERS\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Birdjob DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Willjob DeleteKey: HKEY_USERS\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Willjob S3 gkernel; \??\C:\Users\admin\AppData\Local\Temp\gkernel.sys [X] S3 NAVENG; \??\D:\Norton AntiVirus\NortonData\22.7.1.32\Definitions\SDSDefs\20170310.008\ENG64.SYS [X] S3 NAVEX15; \??\D:\Norton AntiVirus\NortonData\22.7.1.32\Definitions\SDSDefs\20170310.008\EX64.SYS [X] AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [152] C:\Users\admin\AppData\Local\Google\Chrome\User Data\zedckzukickplupuy StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.startpageing123.com/?type=sc&ts=1489151978&z=42f456a869870fd216dd6a1gfz5b5tcgbwfg1tcmfq&from=ggg0302&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\admin\AppData\Local\Mozilla C:\Users\admin\AppData\Roaming\Mozilla C:\Users\admin\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware (masz na dysku, więc tylko robisz aktualizacje sygnatur wirusów / programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK.

Raczej nie zamykamy tematów, w celu możliwość odkopania tematu, jeśli pojawiłyby się jakieś wątpliwości jeszcze.

Raporty są co prawda inne, ale skopiowałeś opis problemu z tematu Wirus kemgadeojglibflomicgnfeopkdfflnk, otwieranie się strony qtipr. Sprawdziłem również Wasze numery IP i to nie wygląda na multikonto, ale proszę wykazuj w trakcie pomocy choć trochę inicjatywy ze swojej strony i nie kopiuj odpowiedzi z innych tematów. W systemie widoczna szczątki po adware i infekcja WMI. Do poczytania lektura o bezpieczeństwie pobierania programów: KLIK. 1. Przejdź do folderu C:\Program Files\żěŃą i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa powinna być zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...\Run: [] => [X] ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku URLSearchHook: [s-1-5-21-856211863-3457804247-3980532556-1001] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości U0 Partizan; system32\drivers\Partizan.sys [X] 2017-03-11 16:23 - 2017-03-11 16:23 - 0054272 _____ () C:\Users\ŚwiunteG\AppData\Roaming\ApplicationHosting.dat 2017-03-11 16:23 - 2017-03-11 16:23 - 0072787 _____ () C:\Users\ŚwiunteG\AppData\Roaming\DoubleEco.tst 2017-03-11 16:23 - 2017-03-11 16:23 - 0126464 _____ () C:\Users\ŚwiunteG\AppData\Roaming\lobby.dat 2017-03-11 16:24 - 2017-03-11 16:24 - 1891778 _____ () C:\Users\ŚwiunteG\AppData\Roaming\Techflex.tst CustomCLSID: HKU\S-1-5-21-856211863-3457804247-3980532556-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\ŚwiunteG\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {0A359BBE-A71F-4130-B7CF-9E73B7CD082E} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {1C605E5C-1F4D-4D59-9587-C280E5EC1A99} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {23D7C00C-FDD0-4204-BE01-EB40A951A284} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2A370B6D-3D05-4DC4-8390-586B768193A9} - \Optimize Start Menu Cache Files-S-1-5-21-856211863-3457804247-3980532556-500 -> Brak pliku Task: {36AAD459-A5CE-4524-B4EB-E337E6D22983} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {428FA288-2F2B-427E-B521-2DE5DCC263A4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {48DFA534-8EC1-4748-9EA3-0BE6C08867E7} - \Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report -> Brak pliku Task: {4AC130CA-79EF-40F0-B9CD-B175C2ED004D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {53F7A0EB-744C-44E3-AE07-4826EF5F4799} - \ASUS Live Update1 -> Brak pliku Task: {5A3DFFBA-47DF-4E60-9CA7-07F55F3314C6} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {6046FEE9-B722-43C3-9AC8-4D14799D777B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6DA30928-130F-473E-8776-AD799C09F6DD} - \ASUS\ASUS Product Register Service -> Brak pliku Task: {7501ADF3-4C81-44CE-8F4A-469909998746} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {7A429671-C979-4213-B5BC-320CE70A928A} - \Optimize Start Menu Cache Files-S-1-5-21-856211863-3457804247-3980532556-1001 -> Brak pliku Task: {9123F01B-4FD6-4CCC-992E-4361DD01FDD4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {AE15FD33-0EA6-4FCF-803F-B967E5B94461} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B4CE1D7D-1164-489E-840D-13AC93CA7A88} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {B88F59C0-13A7-4EA2-94C0-74456A8DD870} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C6451BCE-5888-4599-BD02-D00044215E29} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C7C2D822-1317-4DE3-904D-A8528DB1E60C} - \McAfee\McAfee Idle Detection Task -> Brak pliku Task: {E7B214CA-315A-4CBE-907C-874167C6E2C1} - \WPD\SqmUpload_S-1-5-21-856211863-3457804247-3980532556-1001 -> Brak pliku Task: {E7C06BF8-21A2-47F2-9B4D-05AFDF669A4D} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\ŚwiunteG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ŚwiunteG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\ŚwiunteG\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ŚwiunteG\AppData\Local\Mozilla C:\Users\ŚwiunteG\AppData\Roaming\Mozilla C:\Users\ŚwiunteG\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Skan niczego faktycznie podejrzanego nie wykazał (tylko FRST i pliki od gier). Na koniec zastosuj DelFix.

CHR StartupUrls: Default -> "hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=FA32C44619916D12&affID=120007&tt=070813_wt3&tsp=4969","hxxp://www.google.com" Ta szczątka pod adware nadal siedzi, a to oznacza modyfikację preferencji przeglądarki. Czyszczenie ich ręcznie to mozolny proces i prościej jest kompleksowo przeinstalować przeglądarkę wg poniższych instrukcji. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Reszta wygląda w porządku, pozostało m zapytać czy problem ustąpił?

To są sprawdzone usługi, nie przejmował bym się tym (i przypuszczalnie wiesz to od Comodo, a ich zapora mówi dosłownie o wszystkich połączenią). Zapomniałem dopisać w poście: przeskanuj system za pomocą HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Jak wspominałem kolosalnie zainfekowany system. W cale nie korzystasz z przeglądarki Google Chrome, ani Mozilla FireFox tylko z ich zarażonych podszywek. Nie widzę charakterystycznej modyfikacji dla usługi Themes przy infekcji wariantem Elex, czyli DependOnService. Zakładam, że doszło do uszkodzenia całkowitego podczas usuwania infekcji przez jakiś skaner, dlatego wdrążam rekonstrukcję całej usługi. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: amulesw WinSnare 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\...\ChromeHTML: -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Birdjob Task: {0B283F53-5B5B-48DD-AC4F-EE0B6A98BFD9} - \BirdeyeUpdateTaskMachineCore -> Brak pliku Task: {204CFA13-C70B-4D8F-AE21-631183502246} - \SetmikeUpdateTaskMachineCore -> Brak pliku Task: {491F7546-0A02-4D35-B64A-A226BF6E2BDD} - \Shacuentrudack Engine -> Brak pliku Task: {4EBB7685-1291-48CD-A6E1-526DCADC409C} - \SetmikeUpdateTaskMachineUA -> Brak pliku Task: {910A16B5-5E8F-440F-89C4-DE13E80208EC} - \BirdeyeUpdateTaskMachineUA -> Brak pliku FirewallRules: [{65AB3DE9-0ED6-4F04-ABB2-9023AA9759E7}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{57504F8C-AEE0-480B-BCEE-949E261ADED6}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [TCP Query User{0F357D1B-EA68-444C-90C1-69BC1B31C440}C:\program files (x86)\willjob\application\chrome.exe] => (Allow) C:\program files (x86)\willjob\application\chrome.exe FirewallRules: [uDP Query User{1DD54C44-6EB1-4512-BC09-13B4677AF56A}\application\chrome.exe] => (Allow) C:\program files (x86)\willjob\application\chrome.exe RemoveDirectory: C:\program files (x86)\willjob FirewallRules: [{96328BA8-1A54-4A4A-BD03-BAA6BB3A81EC}] => (Allow) C:\Program Files (x86)\Birdjob\Application\chrome.exe HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [iDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} => -> Brak pliku GroupPolicy: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1489151978&z=42f456a869870fd216dd6a1gfz5b5tcgbwfg1tcmfq&from=ggg0302&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 gkernel; \??\C:\Users\admin\AppData\Local\Temp\gkernel.sys [X] S3 NAVENG; \??\D:\Norton AntiVirus\NortonData\22.7.1.32\Definitions\SDSDefs\20170310.008\ENG64.SYS [X] S3 NAVEX15; \??\D:\Norton AntiVirus\NortonData\22.7.1.32\Definitions\SDSDefs\20170310.008\EX64.SYS [X] S1 p1481293846am; \??\C:\Users\admin\AppData\Local\Temp\bk83DF.tmp\p1481293846am.sys [X] R2 WinSnare; Brak ImagePath StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes] "Start"=dword:00000002 "DisplayName"="@%SystemRoot%\\System32\\themeservice.dll,-8192" "ErrorControl"=dword:00000001 "Group"="ProfSvc_Group" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\themeservice.dll,-8193" "ObjectName"="LocalSystem" "RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\ 00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\ 00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,\ 00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceMain"="ThemeServiceMain" "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 74,00,68,00,65,00,6d,00,65,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,2e,\ 00,64,00,6c,00,6c,00,00,00 EndRegedit: RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Profil w przeglądarce Google Chrome jest prefabrykowany przez adware i zarażony, a w przeglądarce Mozilla FireFox też wygląda podejrzanie. Obie przeglądarki wymagają kompleksowej zmiany profili. ------> Google Chrome. Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby. ------> Mozilla FireFox. Otwórz przeglądarkę Mozilla Firefox, następnie kliknij klawisz z flagą Windows + R > wklej komendę C:\Program files (x86)\Mozilla Firefox\firefox.exe -p lub C:\Program Files\Mozilla Firefox\firefox.exe -p > załóż nowy profil, wszystkie poprzednie skasuj, Ustaw jakąś przeglądarkę jako domyślną w celu cofnięcia modyfikacji infekcji. Skromnie sugeruje, by wybrać Google Chrome. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). birdjob;willjob Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Ten błąd oznacza, że jest wyłączona usługa Dziennik zdarzeń (nadrzędna zależność dla Harmonogramu). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog] "Start"=dword:00000002 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

To raczej wygląda na zupełnie normalne procesy i modyfikacje. Raporty nie wykazują oznak infekcji. W spoilerze zadaję zadanie poboczne, czysto kosmetyczne. Jeśli chodzi zaś o problem tytułowy to sprawdziłem adres IP, z którego logujesz się na forum i jest to polski adres, od Netii - 94.XX.XX.25X (celowo zamazałem część, link do analizy masz na PW). To prawdopodobnie jest tak, że został Ci przydzielony adres, który gdzieś kiedyś faktycznie coś nabroił i teraz jest wykrywany. Ja też jestem z Netią (przechodzę w tym tygodniu do Orange, bo mi prędkość nie pasuje + Orange ma korzystną i tanią ofertę) i mam adres, który wykrywany jest przez 4 usługi na DNSBL. Twój jest wykrywany przez 1 usługę, nie przez dwie, bo sprawdziłem teraz. Zresetuj router (to powinno dać nowe IP), lub skontaktuj się z pomocą techniczną - niech przydzielą Ci nowy adres.

Na pierwszy rzut oka SFC nie wykrył poważniejszych usterek w systemie. Jeśli chodzi o sam komunikat, to są to wyniki poniższe, ale żeby je zweryfikować dokładniej (i zadać poprawną korektę) potrzebuję więcej czasu. 2017-03-11 17:40:11, Info CSI 0001fbb8 [sR] csearchconnector-ms" of Microsoft-Windows-SearchFolder-Library, Version = 10.0.10240.16384, pA = x86, nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35} in the store, hash mismatch 2017-03-11 17:40:12, Info CSI 0001fc02 [sR] Cannot repair member file [l:80{40}]"connectedsearch-paths.searchconnector-ms" of Microsoft-Windows-SearchFolder-Library, Version = 10.0.10240.16384, pA = x86, nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35} in the store, hash mismatch 2017-03-11 17:40:12, Info CSI 0001fc03 [sR] This component was referenced by [l:238{119}]"Microsoft-Windows-Search2-WOW64-shell-Package~31bf3856ad364e35~amd64~~10.0.10240.16384.56d5d304fb08840b97854d84beda46d3" 2017-03-11 17:40:12, Info CSI 0001fc04 [sR] This component was referenced by [l:362{181}]"Microsoft-Windows-Client-Features-WOW64-Package-AutoMerged-shell~31bf3856ad364e35~amd64~~10.0.10240.16384.Microsoft-Windows-Client-Features-WOW64-Package-AutoMerged-shell-Deployment" 2017-03-11 17:40:12, Info CSI 0001fc07 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:80{40}]"connectedsearch-paths.searchconnector-ms"; source file in store is also corrupted 2017-03-11 17:41:17, Info CSI 00021364 [sR] Cannot repair member file [l:80{40}]"connectedsearch-paths.searchconnector-ms" of Microsoft-Windows-SearchFolder-Library, Version = 10.0.10240.16384, pA = x86, nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35} in the store, hash mismatch 2017-03-11 17:41:17, Info CSI 00021367 [sR] Cannot repair member file [l:80{40}]"connectedsearch-paths.searchconnector-ms" of Microsoft-Windows-SearchFolder-Library, Version = 10.0.10240.16384, pA = x86, nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35} in the store, hash mismatch 2017-03-11 17:41:17, Info CSI 00021368 [sR] This component was referenced by [l:238{119}]"Microsoft-Windows-Search2-WOW64-shell-Package~31bf3856ad364e35~amd64~~10.0.10240.16384.56d5d304fb08840b97854d84beda46d3" 2017-03-11 17:41:17, Info CSI 00021369 [sR] This component was referenced by [l:362{181}]"Microsoft-Windows-Client-Features-WOW64-Package-AutoMerged-shell~31bf3856ad364e35~amd64~~10.0.10240.16384.Microsoft-Windows-Client-Features-WOW64-Package-AutoMerged-shell-Deployment" 2017-03-11 17:41:17, Info CSI 0002136c [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:80{40}]"connectedsearch-paths.searchconnector-ms"; source file in store is also corrupted

Brak oznak infekcji, poprzednie poprawki pomyślnie wykonane. Narzędzia diagnostyczne / dezynfekcyjne skasuj (są często aktualizowane, więc jednorazowe) - KLIK.

Brak oznak aktywnej infekcji, są tylko szczątki po adware, po których obowiązkowo trzeba posprzątać. Potem temat jedzie do działu Windows 7. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości FF DefaultSearchEngine: Mozilla\Firefox\Profiles\epooierz.default-1426892647573 -> mystartsearch StartMenuInternet: (HKLM) Opera - G:\Opera\Opera.exe hxxp://www.istartpageing.com/?type=sc&ts=1449770344&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307 S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\Windows\Tasks\{3EC6D4CD-AC18-87E9-3D96-3B11173B2260}.job Task: {C6606C70-28E2-48CA-A8CB-1842918E2D12} - System32\Tasks\{3EC6D4CD-AC18-87E9-3D96-3B11173B2260} => C:\Users\Tadek\AppData\Roaming\{3EC6D~1\PRICEF~1.EXE Task: {E406F3EB-2773-434C-A2C6-643588C1B1D4} - System32\Tasks\{AC164FDD-B8DC-41CB-A09C-C7F8A062260B} => pcalua.exe -a C:\Users\Tadek\AppData\Local\Temp\jre-8u77-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: C:\Windows\Tasks\{3EC6D4CD-AC18-87E9-3D96-3B11173B2260}.job => C:\Users\Tadek\AppData\Roaming\{3EC6D~1\PRICEF~1.EXE AlternateDataStreams: C:\ProgramData\TEMP:0574215C [120] AlternateDataStreams: C:\ProgramData\TEMP:264B2CC4 [328] AlternateDataStreams: C:\ProgramData\TEMP:D95ACC7D [135] Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem powoduję infekcja ładowana poprzez autostart poniższym wpisem. HKU\S-1-5-21-1935959312-506196176-861284341-1000\...\Run: [uZmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Kamil\AppData\Local\Agworks\gkgbuqvp.dll Szybko się z tym uporamy. Akcja. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1935959312-506196176-861284341-1000\...\Run: [uZmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Kamil\AppData\Local\Agworks\gkgbuqvp.dll CHR StartupUrls: Default -> "hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=FA32C44619916D12&affID=120007&tt=070813_wt3&tsp=4969","hxxp://www.google.com" S3 VGPU; System32\drivers\rdvgkmd.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Stefan\AppData\Local\Mozilla C:\Users\Stefan\AppData\Roaming\Mozilla C:\Users\Stefan\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji. Nie wiem na jakiej podstawie twierdzisz, że to urządzenie jest zainfekowane. To co widzę na dostarczonych zdjęciach to zupełnie normalny widok urządzeń. Przykład z mojego systemu:

Ogromny bałagan w systemie, ale nie przejdę do instrukcji dopóki nie dostarczysz trzeciego obowiązkowego raportu Shortcut generowanego przez FRST.

Proszę: KLIK.

Sprawdziłem raporty systemowe od strony infekcyjnej i powiem, że nie wszystko jest w porządku. Przeglądarka Google Chrome została przekonwertowana przez adware (przypuszczalnie komputer musiał być tym w przeszłości zainfekowany) z wersji stabilnej do wersji developer. Wymagana jest kompleksowa reinstalacja przeglądarki. Oprócz tego zmiany kosmetyczne: kasacja pustych, odpadkowych (również po adware) wpisów. Priorytet ma teraz to, dopiero po tym przejdziemy do tytułowego problemu. P.S: Tematu nie przenoszę do działu Malware, bo szybko to ogarniemy. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] SearchScopes: HKU\S-1-5-21-1302089069-1910840399-1591248985-1005 -> {48CEC1DE-2964-431A-B079-7E51D3002112} URL = Toolbar: HKU\S-1-5-21-1302089069-1910840399-1591248985-1005 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku S1 bfwsrdsf; \??\C:\WINDOWS\system32\drivers\bfwsrdsf.sys [X] S1 nniekjwu; \??\C:\WINDOWS\system32\drivers\nniekjwu.sys [X] S2 SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys [X] S1 uayvwqrc; \??\C:\WINDOWS\system32\drivers\uayvwqrc.sys [X] CustomCLSID: HKU\S-1-5-21-1302089069-1910840399-1591248985-1005_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\NISABA\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1302089069-1910840399-1591248985-1005_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\NISABA\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1302089069-1910840399-1591248985-1005_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\NISABA\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1302089069-1910840399-1591248985-1005_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\NISABA\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1302089069-1910840399-1591248985-1005_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\NISABA\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Intel® Graphics and Media Control Panel.lnk C:\Users\NISABA\Desktop\Kontynuuj instalację Winamp Full 5.666.3516.lnk C:\Users\NISABA\AppData\Roaming\Microsoft\Word\AWS%20-%20Program%20-%20MKPS_14.03304334893894246462\AWS%20-%20Program%20-%20MKPS_14.03.doc.lnk C:\Users\NISABA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\RYSZARD\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\RYSZARD\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wykonaj kompleksową reinstalację przeglądarki Google Chrome. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Dostarcz jeszcze wymagany zestaw raportów systemowych FRST.

System został zainfekowany infekcją Trojan.DNSChanger, która doprowadziła do zmiany DNS na szkodliwe, bo zarażone. Adresy pochodzą z Izreala (KLIK / KLIK) i są ustawione zarówno z poziomu Windows jak i z poziomu routera, więc trzeba je w pierwszej kolejności wywalić z routera, a następnie z Windows. Oprócz tego widoczne są też inne infekcje adware. P.S: SpyHunter - program wątpliwej reputacji, raczej unikać. Z folderu Pobrane usuwam jego plik instalacyjny. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony przejdź do wykonywania następnych działań. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {7251B807-16EF-4ABD-A0C4-69588F39789A} - System32\Tasks\{08097847-7805-787F-7911-7E050C0A110B} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAA7ADsAOwA7ADsAIAAgADsAIAA7ADsAOwA7ADsAOwA7ACAAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIA (dane wartości zawierają 9656 znaków więcej). Task: {8C7CF4FE-EA04-4FD8-99D6-8112A32D2DF8} - System32\Tasks\{D549DCDE-B906-70A7-81D6-5C42F172826E} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\c878c6d0\9386603b.dll" Task: {9E55D43A-46D5-4F3D-AC00-0E1AB2BEC620} - System32\Tasks\{8763FEE4-30C8-494F-60EA-05F95BA66AFD} => C:\ProgramData\{81E8E00B-3643-57A0-726E-5E20F5008383}\9B12BA33-2CB9-0D98-A34F-C31183F75BE2.exe [2017-03-09] () C:\PROGRA~3\c878c6d0 C:\ProgramData\{81E8E00B-3643-57A0-726E-5E20F5008383} AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] GroupPolicy: Ograniczenia Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{78f3f90e-6e5d-4ac3-a65c-340917324d68}: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{c3547b3f-fe86-413b-9973-67e6a5ad864e}: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{fb96a2d7-71ed-4d16-b746-cf42d9834262}: [NameServer] 82.163.143.176 82.163.142.178 HKU\S-1-5-21-1347009996-1066884544-4165590377-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid=%7B7C68D598-E20B-455E-8B3B-BFD89224634F%7D&i= HKU\S-1-5-21-1347009996-1066884544-4165590377-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&i= SearchScopes: HKU\S-1-5-21-1347009996-1066884544-4165590377-1001 -> DefaultScope {1E2C84C3-99D6-46E2-A0B2-2D9CDAC250C3} URL = hxxp://services.eshield.com/tb/search.php?guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&k={searchTerms}&action=default_search SearchScopes: HKU\S-1-5-21-1347009996-1066884544-4165590377-1001 -> {1E2C84C3-99D6-46E2-A0B2-2D9CDAC250C3} URL = hxxp://services.eshield.com/tb/search.php?guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&k={searchTerms}&action=default_search 2017-03-10 18:18 - 2017-03-10 18:18 - 03516080 _____ (Enigma Software Group USA, LLC.) C:\Users\Wojciech Ferenc\Downloads\sh-remover.exe 2017-03-09 16:31 - 2017-03-09 16:31 - 00000000 ____D C:\ProgramData\425cd681-12f3-0 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\c878c6d0 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\425cd681-78b5-0 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{5bd3301f-712c-0} 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{31ff7c20-512c-1} 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{0fbe3cb6-412c-1} 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{0a8d3dfd-412c-0} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\kX Audio Driver\kX Help (Version 3548).lnk CMD: ipconfig /flushdns EmtyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie to nie oznaka infekcji, raport GMER jest w porządku. PUP.Optional.InstallCore, HKU\S-1-5-21-947165865-3898996387-898857492-1001\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I, Brak akcji, [8], [352832],1.0.1469 Powyższy klucz pochodzi od serwisu DobreProgramy, które no cóż...lepiej omijać szerokim łukiem - KLIK. PUP.Optional.BundleInstaller, C:\USERS\\u00c5\u0081UKASZ\DOWNLOADS\PITY-12732-DP.EXE, Brak akcji, [39], [373159],1.0.1469 PUP.Optional.BundleInstaller, C:\USERS\\u00c5\u0081UKASZ\DOWNLOADS\VISUAL-C-12107-DP.EXE, Brak akcji, [39], [365884],1.0.1469 To też ścierwo od Dobrych Programów, asystę pobierania (instalka), tzn. oni się tłumaczą, że muszą zarobić poprzez ładowanie tam infekcji. To tak jak by złodziej tłumaczył się, że kradnie po przecież musi zarobić, albo twórca wirusa, że przecież on też musi zarabiać. Wszystkie te detekcje daj do usunięcia wykorzystując MBAM. Komentując zaś raporty systemowe to brak oznak infekcji. Temat przenoszę do działu Software, ale najpierw proszę spróbuj wykonać kompleksową reinstalację przeglądarki. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Do wdrążania tylko zmiany kosmetyczne. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0406FD33-FD28-47D6-9B84-FAA6B154BEEA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {0F712C6F-FDC4-4763-AB1C-7A52AE43F0C1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {104C9992-4494-4948-BB35-0067E8CD31B6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {1F1AD941-6407-4FD8-AD09-96EFDDAC4A90} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {3B4BC99B-12EE-4EDD-8FB9-E826DE61B9BB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {556A1946-4655-4889-9DD0-5326A1DDC25B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> Brak pliku Task: {6E3E8AA0-BCF6-437D-A54B-B3CE5EB8BDD6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {6F2C5472-9389-4410-BF95-CC131001E2AD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {79ECF554-4E03-470E-A9E2-2284B81AD9C7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {89D34746-D109-4F7E-99C5-48F0DBBDDF60} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {8DFE50B6-9DB9-4D17-AFC7-B79B5C7F44B2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D1A34268-E1D0-48F6-A341-0A1C93B4314A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {FEECADD8-2EA8-4215-A9A0-B78E03F0E6FE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Neverwinter Nights 2\Maska Zdrajcy\ Podręcznik użytkownika.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Neverwinter Nights 2\Maska Zdrajcy\Readme.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Emergency\Usuń grę.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Łukasz\AppData\Local\Mozilla C:\Users\Łukasz\AppData\Roaming\Mozilla C:\Users\Łukasz\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog). To tyle ze strony tego działu.

Dostarcz wymagane raporty systemowe FRST oraz GMER. Link dla "zainteresowanych" usuwam, - nie działa.