Miszel03

OTL to przestarzałe i niebezpieczne już narzędzie, a opcji Sprzątanie to nie opcja dezynfekcji. Polega ona na usunięciu narzędzia OTL z systemu. W systemie jest adware i inne stare modyfikacje. Kierunek zwiedzania: leczenie systemu z infekcji w tym dziale > reszta problemów w dziale Windows 10. 1. Przez panel sterowania odinstaluj: Adware / PUP: Reimage Repair. Zbędniki / sponsorzy instalacyjni: McAfee Security Scan Plus. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0014F6DF-77AB-4EE4-9BF1-FD95159CEBD7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {0A14E2E7-7276-454E-AD51-B17F17608A3D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {63E458BA-6F81-47ED-A844-41E56DD1B2F6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {787B1BE9-8EB6-4DD1-8F76-3CD3A8A9E054} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {D6818912-DBF4-4927-8AA2-D27CAA370272} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D980DB3E-FED0-4CEF-9265-567540981834} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DFE78752-F22A-46CA-AAA2-6E3B842828CD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E244F61A-1005-4A5B-9765-4EFFC24318AD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E93AB14A-58B0-48CA-82B9-AED3DCD453E0} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {F39DAA4F-C666-40D1-BADC-84CAE9A9701F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {FAC83639-F9F8-4BDE-AC48-EE51DE355151} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:1AAB2E68 [175] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2013-04-09] CHR Extension: (Fast search) - C:\Users\Meblarz_sl\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-21] U3 idsvc; Brak ImagePath C:\Users\Public\ZPS(1).exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty, informację, o które prosimy proszę dodawaj w nowym poście. Dzięki temu widzimy, że odpowiedziałeś (a nie po kryjomu dodajesz raporty...). W zaistniałej sytuacji jestem zmuszony zwrócić honor i przeprosić. P.S: Picasso jest kobietą.

W systemie widoczne infekcje adware, które są odpowiedzialne za występowanie u Ciebie wymienionych problemów przez Ciebie problemów. Do poczytania: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2476814522-3174037697-3718741042-1001\...\ChromeHTML: -> Task: {350C81AC-473A-4F20-A94F-810A13D521D5} - \DriverMaxAgent -> Brak pliku Task: {55DAA384-9242-4525-AFFA-3D280B24CAD6} - \klcp_update -> Brak pliku Task: {5BFE9C98-A550-45B2-85E1-8A6521A2D96C} - System32\Tasks\{95D58C97-E987-4BA2-B7D1-25C60B3FE458} => pcalua.exe -a C:\Users\karol\AppData\Local\Temp\Temp1_MarvellYukon_Ethernet_V111053_Windows7.zip\MarvellYukon_Ethernet_V111053_Windows7\setup.exe WMI_ActiveScriptEventConsumer_ASEC: C:\Users\karol\Desktop\programy karola\Настройки PES 2015.lnk ShortcutWithArgument: C:\Users\karol\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\karol\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ C:\Users\karol\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk HKU\S-1-5-18\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2476814522-3174037697-3718741042-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-2476814522-3174037697-3718741042-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U0 Partizan; system32\drivers\Partizan.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\Benchmarking.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor\Smart File Advisor Updater.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor\Startup Application Checker.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Grand Theft Auto IV\Grand Theft Auto IV Safe Mode.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Grand Theft Auto IV\Grand Theft Auto IV.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Grand Theft Auto IV\Revoke License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks\Uninstall Lightworks.lnk C:\Users\karol\Documents\ZDJĘCIA\mama, paryż\Nowy folder\DSC00423 (2) — skrót.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\karol\AppData\Local\Mozilla C:\Users\karol\AppData\Roaming\Mozilla C:\Users\karol\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt (ustaw koniecznie kodowanie na UTF-8) w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. ---- Piszesz, że korzystałeś ze SpyHuntera, a to problem o wątpliwej reputacji. Skromnie sugeruję by unikać.

Być może nie zauważyłeś notatki moderacyjnej w swoim poście - powtórzę tu: brakuje pliku Fixlog - dostarcz go.

Raporty nie wykazują oznak infekcji. W spoilerze zadaję zadania poboczne (+ skoro rozwiązałeś problem - finalizację tematu).

Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK.

W raportach brak oznak infekcji. P:S: HijackThis to mocno przestarzałe narzędzie - nie używaj go już do generacji logów etc. 1. Spróbuj uruchomić plik deinstlacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files (x86)\Popcorn Time. To program o wątpliwym zamierzeniu. Liczne kontrowersje związane z adware, podejrzanym VPN. W Twoim przypadku to wygląda już na resztkę. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {D51A8F1B-BA06-4C7D-81DC-EA5EF56D2725} - System32\Tasks\{BA693922-6968-413B-8D8A-0C2F13749981} => pcalua.exe -a C:\Users\AZE\AppData\Local\Temp\Temp1_HijackThis.zip\HijackThis.exe HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Toolbar: HKLM - Brak nazwy - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - Brak pliku S3 esihdrv; \??\C:\Users\AZE\AppData\Local\Temp\esihdrv.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 panda_url_filteringd; \??\C:\Program Files\Panda Security URL Filtering\panda_url_filteringd.sys [X] C:\Users\AZE\Firefox Setup Stub 36.0.1.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileZilla FTP Client\Uninstall.lnk C:\Users\AZE\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napisz co udało się wykonać i jak wygląda sytuacja systemu.

Czy naprawdę tak trudno jest ze zrozumieniem przeczytać treść polecenia? Jasnowidzami nie jesteśmy, skąd mamy wiedzieć o wynikach działań skoro ich nie przedstawiasz? Zaangażuj się.

Skrypt nie wykonał się, bo uruchomiłeś go w złym środowisku. Przeczytaj końcówkę pkt. 1 i cały pkt. 2.

Przekopiuj jego zawartość na serwis wklejkowy wklej.org i dostarcz link do wklejki.

1. Wszystkie zagrożenia wykryty przez AdwCleaner daj do kasacji. Daj z tego raport. 2. Podsumuj obecny stan systemu.

Brakuje dwóch obowiązkowych raportów generowanych przez narzędzie FRST, czyli Addition i Shorcut.

Przepraszam, że Twój temat został potraktowany trochę olewatorsko, ale mamy tutaj nie małe urwanie głowy i nie jestem w stanie odpowiedzieć w dobrym tępie. W systemie widoczne modyfikacje infekcji adware, więc to teraz staję się priorytetem. Kierunek zwiedzania: leczenie systemu odbędzie się w tym dziale, następnie w celu rozwiązania problemu z uaktualnianiem temat odwiedzi dział Windows 10. 1. Przez panel sterowania odinstaluj: Adware / PUP: DealPly. Zbędniki: Akamai NetSession Interface. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {06E0C46F-8B4E-4640-891E-8B67F72FA06A} - System32\Tasks\{34DB617D-A6FE-46D4-86B0-151A17894B9E} => pcalua.exe -a C:\Users\mati\AppData\Local\Temp\ir_ext_temp_0\AutoPlay\Docs\Portable.exe -d C:\Users\mati\AppData\Local\Temp\ir_ext_temp_0\ Task: {77928148-9D44-401E-B36B-D712194AFC40} - System32\Tasks\{6F5F0A0D-1C9C-4AF7-BE33-05A0A6BD7B41} => pcalua.exe -a C:\Users\mati\AppData\Local\Temp\ir_ext_temp_1\AutoPlay\Docs\Portable.exe -d C:\Users\mati\AppData\Local\Temp\ir_ext_temp_1\ HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-3372699847-3746653199-2843972665-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File BHO-x32: No Name -> {9FDDE16B-836F-4806-AB1F-1455CBEFF289} -> No File CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1401895204&from=cor&uid=SAMSUNGXHD103SJ_S246JD2Z909343" S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie, to wbudowana opcja, wszystko masz opisane w temacie jaki zapodał Rucek. WinRe - KLIK. Jak wykonać raporty z poziomu WinRe - KLIK.

Wszystkie raporty oprócz Shortcut są ucięte, praktycznie puste. Dostarcz poprawne. Raport z GMER'A możesz sobie odpuścić

Ten wynik z MBAR (dlaczego MBAR, a nie MBAM?) to błachostka. Właściwie to nie nadaję się do usunięcia, bo to element Ashampoo. P.S: Dostarcz jeszcze wyniki z pkt. 3 mojego pierwszego postu.

W systemie nie ma tragedii względem innych tego typu tematów. Fakt faktem: system zainfekowany nowoczesnym adware podmieniającym przeglądarkę Google Chrome na szkodliwą (prefabrykowaną)oraz podstawiającym fałszywe profile w obu przeglądarkach. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Adware / PUP: PRO PC Cleaner. Zbędniki, sponsorzy instalacyjni: McAfee Security Scan Plus. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\ChromeHTML: -> C:\Program Files (x86)\Goldass\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Goldass Task: {12F92D62-3BBA-44D7-B54C-4FA845F28903} - System32\Tasks\SMW_UpdateTask_Time_333532343735303539352d3437415a556c2a3223346c41 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 Task: {79984138-86E5-4143-A4DE-B8962A06BE3D} - System32\Tasks\{E62CAC41-C337-4C02-A0FB-3625DE23C08D} => pcalua.exe -a C:\Users\Admin\AppData\Local\Temp\7zO87215436\SETUP.EXE -d C:\Users\Admin\AppData\Local\Temp\7zO87215436\ C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2bd54c540f4cfc8b\Google Chrome.lnk -> C:\Program Files (x86)\Goldass\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData FirewallRules: [{7A83172F-2DBE-4968-8A30-927C99BF8BCF}] => (Allow) C:\Program Files (x86)\Goldass\Application\chrome.exe DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\...\Providers\81bd26iq: C:\Program Files (x86)\Terbaent Center\local64spl.dll C:\Program Files (x86)\Terbaent Center ShellExecuteHooks: Brak nazwy - {1215881A-DE48-11E6-9639-64006A5CFC23} - -> Brak pliku GroupPolicy: Ograniczenia AutoConfigURL: [s-1-5-21-1774506419-689819666-2243541019-1000] => hxxp://noblocking.biz/wpad.dat?86b5ab8bf1e905ab0c48f13f207c126022763251 ManualProxies: 0hxxp://noblocking.biz/wpad.dat?86b5ab8bf1e905ab0c48f13f207c126022763251 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia S2 AODDriver4.3.0; Brak ImagePath S3 DrvAgent64; Brak ImagePath S3 MBAMSwissArmy; Brak ImagePath U3 uwddakob; \??\C:\Users\Admin\AppData\Local\Temp\uwddakob.sys [X] C:\Users\Admin\update-bf3nosTEAM.bat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Serious Sam\Extras\Technology Test Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Farming Simulator 15 GPR Repack\Farming Simulator 15 GPR Repack.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD\OverDrive\OverDrive Users Guide.lnk RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Obie przeglądarki, czyli Google Chrome oraz Mozilla FireFox wymagają kompleksowej wymiany profili, ze względu na ich infekcję. ------> Google Chrome. Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby. ------> Mozilla FireFox. Otwórz przeglądarkę Mozilla Firefox, następnie kliknij klawisz z flagą Windows + R > wklej komendę C:\Program files (x86)\Mozilla Firefox\firefox.exe -p lub C:\Program Files\Mozilla Firefox\firefox.exe -p > załóż nowy profil, wszystkie poprzednie skasuj, Ustaw jakąś przeglądarkę jako domyślną w celu cofnięcia modyfikacji infekcji. Skromnie sugeruje, by wybrać Google Chrome. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). Goldass Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Wcześniej prosiłem tylko o skan za pomocą AdwCleaner, ale niech już będzie. W cale nie jest kolorowo. Infekcje nie dają za wygraną, ale z Twojej strony może to tak wyglądać, bo te najgorsze już uległy. W skypcie popatrz na folder i sprawdź czy, któregoś z nich nie kojarzysz, bo usuwam je na czuja (wydaję mi się, że są od infekcji). P.S: Przepraszam za zamieszanie spowodowane infekcją router'a - źle zinterpretowałem dane. Infekcja była z poziomu systemu, a nie z poziomu routera. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Cupfacesc DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Cupface C:\Program Files\LXI4ITSVJC C:\Program Files\R24ILDVVAV C:\Program Files\vh9ggz5t C:\Program Files (x86)\0ddhdwim C:\Program Files (x86)\0ktpwyfg C:\Program Files (x86)\1jaz2inh C:\Program Files (x86)\1s2nd0fn C:\Program Files (x86)\2g9h28f1 C:\Program Files (x86)\2u43cjuk C:\Program Files (x86)\32k33cdf C:\Program Files (x86)\3ylghbrc C:\Program Files (x86)\6qh3dz1y C:\Program Files (x86)\7n6le65t C:\Program Files (x86)\8xe0v5k4 C:\Program Files (x86)\a5a217b2-40da-4d70-ae27-166efeb42edc C:\Program Files (x86)\b86pvy7z C:\Program Files (x86)\bilibili C:\Program Files (x86)\bsq97ozk C:\Program Files (x86)\f09er35s C:\Program Files (x86)\fzelt79j C:\Program Files (x86)\ig4me4xo C:\Program Files (x86)\hzgzy8ma C:\Program Files (x86)\ig4me4xo C:\Program Files (x86)\k5n4hznu C:\Program Files (x86)\l7c9u1a7 C:\Program Files (x86)\mu2h48zp C:\Program Files (x86)\n91hhz4c C:\Program Files (x86)\o0asda6a C:\Program Files (x86)\ro7ts729 C:\Program Files (x86)\ttv2723f C:\Program Files (x86)\w6tmhbqp C:\Program Files (x86)\wfnkb0ym C:\Program Files (x86)\yb6mr4y7 C:\Program Files (x86)\ypimrgzv C:\ProgramData\fjcfi C:\ProgramData\icfib C:\ProgramData\ttff C:\Users\oem\AppData\Local\Cupface C:\Users\oem\AppData\Local\Firefox C:\Users\oem\AppData\Local\STvYAyZaPhLE C:\Users\oem\AppData\Local\t5Za44SPXuU C:\Users\oem\AppData\Roaming\cgjcg C:\Users\oem\AppData\Roaming\Firefox HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} CHR HomePage: Default -> hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 CHR StartupUrls: Default -> "hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525" R2 WinSAPSvc; C:\Users\oem\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-21] (TODO: ) [brak podpisu cyfrowego] R2 WinSnare; C:\Users\oem\AppData\Roaming\WinSnare\WinSnare.dll [779264 2017-02-21] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] C:\Users\oem\AppData\Roaming\WinSAPSvc C:\Users\oem\AppData\Roaming\WinSnare S2 cosymiju; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns8FE4.tmp [X] 2017-02-17 21:09 - 2017-02-17 21:09 - 00000000 ____D C:\Program Files (x86)\cvbs5 2017-02-16 21:19 - 2017-02-16 21:19 - 00000000 ____D C:\Program Files (x86)\cvbs4 2017-02-16 19:22 - 2017-02-16 19:22 - 00000000 ____D C:\Program Files (x86)\cvbs3 2017-02-15 22:29 - 2017-02-15 22:29 - 00000000 ____D C:\Program Files (x86)\cvbs2 2017-02-15 18:29 - 2017-02-15 18:29 - 00000000 ____D C:\Program Files (x86)\cvbs1 2017-02-14 20:02 - 2017-02-14 20:02 - 00000000 ____D C:\Program Files (x86)\cvbs0 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\cleaner /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinSnare /f Task: {FA24D42F-9E9E-4750-9669-5B12EA206311} - System32\Tasks\{34C6FF04-D56D-424A-91FF-86C543223A98} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe" CMD: netsh firewall reset CMD: netsh advfirewall reset AlternateDataStreams: C:\Users\oem\AppData\Local\t5Za44SPXuU:u2oHFVRSt9MlOE5rtI [2112] AlternateDataStreams: C:\Users\oem\AppData\Local\Temp:gAMrn0yNFZcT0bH1q8Rs [2186] AlternateDataStreams: C:\Users\oem\AppData\Local\Temporary Internet Files:6CSt1ff303hKokiclHJu887 [1980] AlternateDataStreams: C:\Users\oem\AppData\Local\Temporary Internet Files:qgBULsA1egaVbVkOFw1MRqWIHn [2448] MSCONFIG\startupreg: cleaner => C:\Users\oem\AppData\Roaming\UPUpdata\cleaner.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\oem\AppData\Local\Mozilla C:\Users\oem\AppData\Roaming\Mozilla C:\Users\oem\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Użyj raz jeszcze AdwCleanera, teraz już możesz podejść do dezynfekcji od razu. 3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK, dostarcz jeszcze tylko zaległy raport wynikowy (plik Fixlog).

Otrzymałem opowiedz od tamtejszych expertów - wynik taki jak przypuszczałem czyli fałszywy alarm. This detection was a false positive. Our virus specialists have been working on this problem and it has now been fixed. It may be necessary to restart your web browser in order to apply this fix.

W raportach brak oznak infekcji. Ta detekcja w ogóle wygląda mi na fałszywy alarm, - napisałem w tej sprawie do zespołu analityków w Avast Software mają odpowiedzieć do 24 godziny. Poinformuję o wynikach jak tylko je otrzymam. Pisałem nie widząc edycji: "Edit: Przy użytkowaniu przeglądarki Opera jednak wciąż problem się pojawia. Zaczynam się zastanawiać czy problem nie leży po stronie witryny, którą przeglądam, a antywirus błędnie interpretuje coś co na niej jest (witryna raczej zaufana).". Dokładnie, host, który wykrywa Avast posiada certyfikat i jest on autoryzowany przez Operę.

W tej sytuacji nawet na miejscu, bo przyznaję się bez bicie, że umknął mi ten temat. Zadanie pomyślnie wykonane. 1. Wszystkie zagrożenia wykryte przez Malwarebytes daj do kasacji. Dostarcz z tego raport. 2. Podsumuj obecny stan systemu. Jak się ma nasz problem?

Raport zweryfikowany

Kończymy. Usuń narzędzia diagnostyczno / dezynfekcje - KLIK.

Sprawa z routerem pomyślnie wykonana. Powiedz mi teraz precyzyjne, które punkty wykonałeś i w jakiej kolejności.