Skocz do zawartości

Miszel03

Moderatorzy
  • Postów

    2 329
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez Miszel03

  1. Raporty nie wykazują oznak infekcji. W spoilerze zadaję zadania poboczne, czysto kosmetyczne. Tu pojawia się pytanie czy MBAM coś wykrył? Jeśli tak to dostarcz raport. Przypuszczalnie wyłączyłeś zaporę systemu Windows szukając rozwiązania problemu, ale ja polecam ją włączyć, bo to raczej nie ona jest tutaj winowajcą. Co innego jeśli Ty nie wyłączyłeś tej zapory i nie możesz jej włączyć to zgłoś się tutaj jeszcze raz. P.S: Zainstaluj jakieś oprogramowanie zabezpieczające, osobiście polecam BitDefender Free lub Avast Free. Przejrzyj: KLIK. Temat przenoszę do działu Sieci.
  2. W przypadku kiedy widzisz, że jakimś cudem omijam temat (np. Twój) to należy go zgłosić - KLIK. Pomoc na forum wymaga inicjatywy z obu stron P.S: Przepraszam za opóźnienia. W systemie kolosalny bałagan, infekcji obok infekcji. Infekcje adware, koparki bitcoin i wiele, wiele innych. Do poczytania: KLIK. 1. Włącz przywracanie systemu, 2. Przez panel sterowania odinstaluj: Adware: My Web Shield.Uruchom deinstalator UCBrowser: C:\Program Files (x86)\UCBrowser\Application\Uninstall.exe. Wejdź do folderu C:\Program Files\żěŃą i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa ma być zbliżona do uninstall.exe). 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {000A1667-F072-453A-BD86-97B916D43FF8} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-02-18] (UC Web Inc.) Task: {3314D1F1-754B-4FBB-9616-22E15AF0D565} - System32\Tasks\SMW_UpdateTask_Time_323935363634313336352d5537375a346c2d3232345b41 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 Task: {346FD75F-2436-45AE-9B7B-8B529C5E9556} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-13] (UCWeb Inc) Task: {37AD3216-E401-4E04-9580-96304A09A5A7} - System32\Tasks\osTip => Chrome.exe Task: {556BC873-4C12-42AF-B5E2-AF505EA65A99} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2017-02-19] () Task: {62FB2B69-8A7E-401B-9220-9FAB1CC7416D} - System32\Tasks\psv_Zimdinphase => cmd.exe /c regedit.exe /s "C:\ProgramData\Zaamla\OpeDom.reg" & del "C:\ProgramData\Zaamla\OpeDom.reg" & SCHTASKS /Delete /TN "psv_Zimdinphase" /F Task: {75FF93D3-F993-4405-909E-1E17C16131CF} - System32\Tasks\psv_NimZozsing => cmd.exe /c regedit.exe /s "C:\ProgramData\Zaamla\Fresh-Top.reg" & del "C:\ProgramData\Zaamla\Fresh-Top.reg" & SCHTASKS /Delete /TN "psv_NimZozsing" /F Task: {8D4E4EF9-1F4D-4896-BC79-B88D9E4EC583} - System32\Tasks\svshost => C:\Users\karol\AppData\Local\svshost\svshost.exe [2017-02-18] () Task: {8DACFD5C-9058-44B9-8134-635A2D089470} - System32\Tasks\Thwentfhution => "msiexec" /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=SAMSUNGXMZNLF128HCHP-00000_S28TNXAGC32881&v=2017218 /q Task: {9AD8EE5A-F355-44E1-8CDE-4ECE09A261E1} - System32\Tasks\psv_Techcore => cmd.exe /c regedit.exe /s "C:\ProgramData\Zaamla\Hotlight.reg" & del "C:\ProgramData\Zaamla\Hotlight.reg" & SCHTASKS /Delete /TN "psv_Techcore" /F Task: {A2AC6AA1-CDA6-4E98-B124-ED0736C76E88} - System32\Tasks\fupdate => C:\Users\karol\AppData\Local\fupdate\fupdate.exe [2017-02-18] () Task: {B0FB4407-542B-4D74-ACBE-F96DD8791BA0} - System32\Tasks\snp => C:\ProgramData\Zaamla\Zaamla.exe Task: {B54B3893-5684-4FA1-9A9A-4976F7D1706F} - System32\Tasks\psv_Nam-Ron => cmd.exe /c regedit.exe /s "C:\ProgramData\Zaamla\Icesoft.reg" & del "C:\ProgramData\Zaamla\Icesoft.reg" & SCHTASKS /Delete /TN "psv_Nam-Ron" /F Task: {C5CA8A9E-ED0A-4437-B83B-3E5024530C24} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-13] (UCWeb Inc) Task: {C5DFEF90-EC74-4899-A776-C03F5A9E6336} - System32\Tasks\RunAtStartup => C:\Users\karol\AppData\Roaming\Event Monitor\em.exe [2017-01-05] () Task: {D3D4774D-AC9A-4315-BD78-878BD3ED4420} - \UCBrowserUpdater -> Brak pliku Task: {F651DE85-EE16-4643-B03E-8AE48E44B663} - System32\Tasks\snf => C:\ProgramData\Zaamla\Zaamla.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe RemoveDirectory: C:\Program Files (x86)\UCBrowser C:\ProgramData\Zaamla ShortcutWithArgument: C:\Users\karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=h2izbcnbl1bu,eaedea06-9d30-45fe-b972-404e013e9e8d, ShortcutWithArgument: C:\Users\karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h2izbcnbl1bu,eaedea06-9d30-45fe-b972-404e013e9e8d, ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h2izbcnbl1bu,eaedea06-9d30-45fe-b972-404e013e9e8d, AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [371912] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1214242] FirewallRules: [{35334B9B-0EF2-47DD-B57D-AE032C32CD40}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{313A28AF-771E-4D7A-B458-C2205A64EF61}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{FB648779-BB2B-4D70-B329-C1EC802ABF8B}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe HKLM\...\Run: [gplyra] => C:\Users\karol\AppData\Roaming\gplyra\gplyra.exe C:\Users\karol\AppData\Roaming\gplyra HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [hçy--oPaVZ.exe] => C:\Users\karol\AppData\Local\Temp\{821-08-ca-984a4-91988-dad7-82eaa}\hçy--oPaVZ.exe -r1_1 -r2_1 HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [bl-NDq_Daa.exe] => C:\Users\karol\AppData\Local\Temp\{821-08-ca-984a4-91988-dad7-82eaa}\Bl-NDq_Daa.exe 1 0 HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [msiql] => C:\Users\karol\AppData\Local\Temp\00021614\msiql.exe /RUNNING HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [apphide] => C:\Program Files (x86)\xxx\uc.exe [159830 2017-02-16] (Unauthorized copy) C:\Program Files (x86)\xxx HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [qqwdalfxvv] => explorer "hxxp://azwebty.ru/?utm_source=uoua03&utm_content=fbd6fe6f2d628d670a663a405d23b55e&utm_term=E841F19B371A4C874D6EF9E6A200D17F&utm_d=20170218" HKLM\...\Providers\ahwq7cx4: C:\Program Files (x86)\Arodupychinering Nodifier\local64spl.dll [307712 2017-02-18] () C:\Program Files (x86)\Arodupychinering Nodifier ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-02-18] () RemoveDirectory: C:\Program Files\żěŃą GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia KU\S-1-5-21-1001290168-2904822511-823766712-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPg7lDWkjCrgzmouuJGbeLR9A1biOirgGkAc143v-YoHPywP0CgUWpzp-hySfxZHriwVp-A8lEV69p6exekaN1GnFd1Jo2DisHSzLgSDmM_kZgPSZDKce8t2sfkJUiDHtUCecOF-MZuNoW-PEu96nQ24L4NLaARygrfyOZJe0-&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPg7lDWkjCrgzmouuJGbeLR9A1biOirgGkAc143v-YoHPywP0CgUWpzp-hySfxZHriwVp-A8lEV69p6exekaN1GnFd1Jo2DisHSzLgSDmM_kZgPSZDKce8t2sfkJUiDHtUCecOF-MZuNoW-PEu96nQ24L4NLaARygrfyOZJe0-&q={searchTerms} SearchScopes: HKU\S-1-5-21-1001290168-2904822511-823766712-1001 -> {E1BCE238-BB86-4CBA-A110-5F7C92E4789A} URL = SearchScopes: HKU\S-1-5-21-1001290168-2904822511-823766712-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B6BF4E8FE-66E8-42CE-8379-13BB96A5B7EB%7D&gp=811014 SearchScopes: HKU\S-1-5-21-1001290168-2904822511-823766712-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPg7lDWkjCrgzmouuJGbeLR9A1biOirgGkAc143v-YoHPywP0CgUWpzp-hySfxZHriwVp-A8lEV69p6exekaN1GnFd1Jo2DisHSzLgSDmM_kZgPSZDKce8t2sfkJUiDHtUCecOF-MZuNoW-PEu96nQ24L4NLaARygrfyOZJe0-&q={searchTerms} ShellExecuteHooks: Brak nazwy - {D4385D50-F441-11E6-BA98-64006A5CFC23} - C:\Program Files (x86)\Miqoshzesetion\Stergalycuvoent.dll -> Brak pliku BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\karol\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-02-18] (Mail.Ru) C:\Users\karol\AppData\Local\Mail.Ru FF NewTab: Mozilla\Firefox\Profiles\ndoc02yp.default -> hxxp://www-searching.com/?site=shyosffdefault&prd=set_ff&s=h2izbcnbl1bu,eaedea06-9d30-45fe-b972-404e013e9e8d, FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ndoc02yp.default -> FF Homepage: Mozilla\Firefox\Profiles\ndoc02yp.default -> hxxp://www-searching.com/?site=shyosffdefault&prd=set_ff&s=h2izbcnbl1bu,eaedea06-9d30-45fe-b972-404e013e9e8d, FF Keyword.URL: Mozilla\Firefox\Profiles\ndoc02yp.default -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=H2Izbcnbl1BU,eaedea06-9d30-45fe-b972-404e013e9e8d, R2 Amazon 1Button App Service; c:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [460472 2016-12-12] (Amazon Inc.) R2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2017-02-18] () [brak podpisu cyfrowego] R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-02-18] () R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [599440 2017-02-13] () S2 serverss; C:\WINDOWS\Temp\CA53.tmp [X] R1 mwescontroller; C:\WINDOWS\system32\drivers\mwescontroller.sys [57680 2016-08-31] () R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) 2017-02-18 10:25 - 2017-02-18 10:25 - 7319040 _____ () C:\Users\karol\AppData\Roaming\agent.dat 2017-02-18 10:25 - 2017-02-18 10:25 - 0023622 _____ () C:\Users\karol\AppData\Roaming\aliexpress.ico 2017-02-18 10:25 - 2017-02-18 10:25 - 0099678 _____ () C:\Users\karol\AppData\Roaming\booking.ico 2017-02-18 10:25 - 2017-02-18 10:25 - 0070752 _____ () C:\Users\karol\AppData\Roaming\Config.xml 2017-02-18 10:25 - 2017-02-18 10:25 - 0016224 _____ () C:\Users\karol\AppData\Roaming\InstallationConfiguration.xml 2017-02-18 10:25 - 2017-02-18 10:25 - 0140288 _____ () C:\Users\karol\AppData\Roaming\Installer.dat 2017-02-18 10:25 - 2017-02-18 10:25 - 0982016 _____ () C:\Users\karol\AppData\Roaming\Lamcanron.exe 2017-02-18 10:25 - 2017-02-18 10:25 - 1907163 _____ () C:\Users\karol\AppData\Roaming\Lamcanron.tst 2017-02-18 10:25 - 2017-02-18 10:25 - 0018432 _____ () C:\Users\karol\AppData\Roaming\Main.dat 2017-02-18 10:25 - 2017-02-18 10:25 - 0005568 _____ () C:\Users\karol\AppData\Roaming\md.xml 2017-02-18 10:25 - 2017-02-18 10:25 - 0126464 _____ () C:\Users\karol\AppData\Roaming\noah.dat 2017-02-18 10:25 - 2017-02-18 10:25 - 0278518 _____ () C:\Users\karol\AppData\Roaming\TinTip.bin C:\ProgramData\service.exe C:\ProgramData\smp2.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną lub jakąkolwiek inną w celu cofnięcia modyfikacji infekcji. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
  3. To dwa różne komputery i dwa różne systemu - oczywiście, że się nie nadaje.
  4. Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK. Malwarebytes AntiMalware również możesz odinstalować.
  5. MBAM niczego nie wykrył co tylko potwierdza moje słowa. System nie jest zainfekowany. Usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK. Malwarebytes AntiMalware również możesz odinstalować.
  6. W systemie kolosalny bałagan, masa infekcji. Siedzą dosłownie na sobie. Nowoczesne adware Elex, fałszywa przeglądarka Mozilla FireFox i wiele, wiele innych. Zapomniałbym: na routerze są ustawione rosyjskie adresy. Traktuje to jako modyfikacje infekcyjną i daję to do korekty. Jeśli to jest ustawienie celowo to pomiń pkt. 1, a ze skryptu z pkt. 2 usuń linjkę CMD: ipconfig /flushdns. Mam ogromną prośbę: gdybyś mógł przypomnieć sobie skąd ostatnio coś pobierałeś itp. To ważne, bo jeśli jest to serwis, o którym myślę to ostro przeginają i zrobię im aferę na tym ich forum. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony wykonaj poniższe działania. 2. Przez panel sterowania odinstaluj: Adware / PUP: amuleC, Body Text Feathering, cleaner 1.0.1, Update for PriceFountain, WinSnare. Zbędniki: Akamai NetSession Interface. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-642869367-1592473142-3323770084-1000\...\ChromeHTML: -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Cupface Task: {611061C1-8DF3-433D-982C-092391135454} - System32\Tasks\Microsoft\Windows\Multimedia\MailruSetup => C:\Users\oem\AppData\Local\MailruSetup\MailruSetup.exe [2016-10-21] () WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\6dc87d5b8be063a4\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\361178be4aa3110f\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Cupface\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ FirewallRules: [{7E8C8C42-4906-4316-BC82-143C231CEECE}] => (Allow) C:\Program Files (x86)\Cupface\Application\chrome.exe FirewallRules: [{1A8DF41A-B61C-434F-A328-9A27E08AC912}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{B40BDFA0-A664-4803-AC8A-E44700CA8573}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox HKLM\...\Providers\vh9ggz5t: C:\Program Files (x86)\Clokisevuboly Reports\local64spl.dll [290816 2017-01-20] () C:\Program Files (x86)\Clokisevuboly Reports ShellExecuteHooks: Brak nazwy - {7BCBF2F8-9E93-11E6-BA23-64006A5CFC23} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {D6A4F024-A5A8-11E6-9A93-64006A5CFC23} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {5EBD559E-A5BA-11E6-B9FD-64006A5CFC23} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {FFC5BCD0-A5C1-11E6-B87D-64006A5CFC23} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {73538FB6-AB7F-11E6-9B77-64006A5CFC23} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {C37C42DA-DC66-11E6-A37E-64006A5CFC23} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {0AAE96C8-DE2A-11E6-9E44-64006A5CFC35} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {036CBE24-DE3B-11E6-95A0-64006A5CFC23} - -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-642869367-1592473142-3323770084-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ShellExecuteHooks: Brak nazwy - {58B532E2-DE3B-11E6-8BCE-64006A5CFC23} - -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-642869367-1592473142-3323770084-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} SearchScopes: HKU\S-1-5-21-642869367-1592473142-3323770084-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} SearchScopes: HKU\S-1-5-21-642869367-1592473142-3323770084-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = CHR HomePage: Default -> hxxp://www.startpageing123.com/?type=hp&ts=1487675442&z=8b662479ca4e8ce41d2527egfzbbcm6q6mfwdz3z1q&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 CHR StartupUrls: Default -> "hxxp://www.startpageing123.com/?type=hp&ts=1487675442&z=8b662479ca4e8ce41d2527egfzbbcm6q6mfwdz3z1q&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525" CHR DefaultSearchURL: Default -> hxxp://www.startpageing123.com/search/?type=ds&ts=1487664333&z=c5725b9e0e6fc0e05c3d6d7g9z2b3mdqaqcz4c8c8q&from=che0812&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} CHR DefaultSearchKeyword: Default -> startpageing123 R2 bilibili; C:\Program Files (x86)\bilibili\bilibili.dll [122880 2017-02-14] () [brak podpisu cyfrowego] R2 cepyzuri; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns226E.tmp [474624 2017-02-21] () [brak podpisu cyfrowego] R2 Convxxxx; C:\Users\oem\AppData\Roaming\cgjcg\UvConverter.exe [376832 2017-02-06] () [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [162992 2017-02-17] () R2 mevucezu; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns8CB9.tmp [427520 2017-02-21] () [brak podpisu cyfrowego] R2 sobubigo; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns7A9D.tmp [429056 2017-02-16] () [brak podpisu cyfrowego] R2 venolici; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns5B5D.tmp [432640 2017-02-12] () [brak podpisu cyfrowego] R2 vomiqyqy; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns7E86.tmp [421376 2017-02-19] () [brak podpisu cyfrowego] R2 vunupehe; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns3CFF.tmp [386048 2017-02-17] () [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\oem\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-21] (TODO: ) [brak podpisu cyfrowego] R2 zigipyro; C:\Users\oem\AppData\Local\1ED023C0-1487680745-11DD-BB38-10BF48B8C1EB\qnshC38F.tmp [158720 2015-12-26] () [brak podpisu cyfrowego] S2 dykewulo; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\kns9D01.tmp [X] R2 gemeloki; C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844\prote927aa13-8b59-4155-bcc8-b9f29f322c0b.tmpfs [X] S2 MOJEMOJE; "E:\MOJE\MOJEMOJE.exe" 388837891c4f496ea6203a5f71b2a421 [X] S2 RóżneDokumenty; "E:\Dokumenty\RóżneDokumenty.exe" affe6dc7e5264e7e8e5695737342bee0 [X] S2 RóżneFotolia; "D:\Różne\RóżneFotolia.exe" 3e19779b2974487e881c2174c0562504 [X] S2 serverss; C:\Windows\Temp\5CD5.tmp [X] U0 aswVmm; Brak ImagePath S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 ESProtectionDriver; \??\C:\Windows\system32\drivers\mbae64.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X] S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X] S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X] S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] U3 uxldapod; \??\C:\Users\oem\AppData\Local\Temp\uxldapod.sys [X] C:\Program Files (x86)\e927aa13-8b59-4155-bcc8-b9f29f322c0b1484938844 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Encore CS6.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Extension Manager CS6.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Prelude CS6.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe SpeedGrade CS6.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\oem\AppData\Local CMD: dir /a C:\Users\oem\AppData\LocalLow CMD: dir /a C:\Users\oem\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj bloker reklam o podlozu nieinfekcyjnym, do tego celu polecam rozszerzenie do przeglądarki uBlock Origin. Ustaw przeglądarkę Google Chrome jako domyślną, bądź jakąkolwiek inną. To musi zostać zrobione, by cofnąć modyfikację infekcji. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). cupface Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
  7. Dostarcz wyniki działań, o które prosi picasso (patrz sam dół posta). Proszenie o pomoc tu na forum wymaga również inicjatywny ze strony użytkownika proszącego o pomoc, a nie tylko od użytkownika udzielającego pomocy.
  8. Raport Addition zniekształcony - ucięty. Dostarcz poprawny.
  9. W raportach brak oznak infekcji. Na wszelki wypadek przeprowadzimy również skanowanie. 1. Przez panel sterowania odinstaluj: Zbędnik: Akamai NetSession Interface 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: Google Chrome - Chrome.exe S2 HiPatchService; A:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 X6va063; \??\C:\Windows\SysWOW64\Drivers\X6va063 [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Jeśli MBAM coś wykryje to zrób również nowy zestaw raportów FRST i dostarcz plik Fixlog.
  10. Raport FRST jest całkowicie ucięty. Dostarcz poprawny.
  11. Wszystko pomyślnie wykonane. Czas na zabezpieczenie konta Skype. 1. Przeinstaluj komunikator Skype i zainstaluj najnowszą wersję - KLIK. 2. Zmień hasło do konta oraz maila, na którego założone jest konto. Hasło musi być solidne, trudne do złamania (do sprawdzenia hasła polecam użyć serwisu HOW SECURE IS MY PASSWORD?).
  12. Wszystko pomyślnie wykonane. Czy problem, z którym się zgłosiłaś ustąpił?
  13. Brakuje trzeciego generowanego przez narzędzie FRST raportu Shortcut. Dostarcz go.
  14. Poprawki, odpuszczam kasowanie pustych CLSID - jest ich tak dużo, że nawet nie wiem czy limit znaków, by mi to przepuścił. Wyniki z MBAM to drobnostki - usuwam je w FRST. 1. Ze zbędników możesz odinstalować jeszcze Akamai NetSession Interface. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKU\S-1-5-21-3692300953-1166139625-1592831316-1006\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKU\S-1-5-21-3692300953-1166139625-1592831316-1004\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I HKU\S-1-5-21-3692300953-1166139625-1592831316-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017180459806\...\Policies\Explorer: [] HKU\S-1-5-21-3692300953-1166139625-1592831316-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017181613580\...\Policies\Explorer: [] HKU\S-1-5-21-3692300953-1166139625-1592831316-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017180501719\...\Policies\Explorer: [] HKU\S-1-5-21-3692300953-1166139625-1592831316-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017181617612\...\Policies\Explorer: [] SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017180459806 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017181613580 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017180501719 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017181617612 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1006 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1006-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017180503873 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1006-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017181621441 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Dostarcz raport wynikowy (plik Fixlog.txt). Podsumuj obecny stan systemu.
  15. Dostarcz jeszcze raport Shortcut generowany przez FRST.
  16. Skan MBAM wykrył tylko witaminki - do kasacji. PUP.Optional.EasyDialsearch.ChrPRST, C:\USERS\BOGUSIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\PREFERENCES, Brak akcji, [20046], [303386],1.0.1310 Powyższa detekcja to modyfikacja preferencji przeglądarki, jeśli MBAM będzie to wykrywał w przyszłości to należy kompleksowo przeinstalować przeglądarkę Google Chrome wg poniższych kroków. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne oraz zaktualizuj ważne programy - KLIK / KLIK. Wyczyść również punkty przywracania systemu - KLIK. P.S: Apropo tego: "Kiedyś też ktoś próbował używać ComboFix z tego co mi wiadomo." - PRZECZYTAJ.
  17. Miszel03

    Humor

    Ja znam jeszcze podobny z Yeti - Mały Yeti do taty: Tato, dlaczego jak atakujemy ludzi to zachodzimy ich od tyłu? - Tato do małego Yeti: A, bo widzisz synku, ludzkie z reguły smakują lepiej nie obesrani.
  18. GMER zatrzymał się na skanowaniu folderu WinSxS, a to ogromne ilości danych w Twoim przypadku muszą być. Pomijam ten raport. Raporty nie wykazują oznak infekcji. W spoilerze zadaję zadania poboczne, niemające związku z problemem. Temat przenoszę do działu Pozostałe zagadnienia komputerowe.
  19. W systemie aktywna infekcja uruchamiana poprzez Harmonogram zadań wpisem WindowsUpda2ta. 1. Przez panel sterownia odinstaluj: Zbędnik: McAfee Security Scan Plus 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {C7A58438-B920-428A-9BA6-AEAFA2DEDC92} - System32\Tasks\WindowsUpda2ta => C:\Users\sebas_000.SEBASTIAN\AppData\Roaming\MICROSOFT\home.vbe Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v hshhsaaaws /f HKLM\...\Policies\Explorer: [ForceActiveDesktopOn] 0 [0 2017-02-01] () HKLM\...\Policies\Explorer: [NoRun] 0 [0 2017-02-01] () HKLM\...\Policies\Explorer: [NoFolderOptions] 0 [0 2017-02-01] () HKLM\...\Policies\Explorer: [NoControlPanel] 0 [0 2017-02-01] () HKU\S-1-5-21-3692300953-1166139625-1592831316-1006\...\Policies\Explorer: [] Startup: C:\Users\sebas_000.SEBASTIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2016-08-01] () Startup: C:\Users\sebas_000.SEBASTIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2016-08-01] () C:\Users\sebas_000.SEBASTIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 dbx; system32\DRIVERS\dbx.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli cośwykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
  20. W takim razie Ace Stream zostaw i nie wykonuj żadnych kroków. To jest problem mający techniki adware / PUP. Można równać z pewnym Popcorn Time. Oprócz tego w systemie porządek. Temat przenoszę do działu Windows 7. Polecam zainstalować darmową, domową ochronę rozwiązania firmy Avast.
  21. W raportach (2 post) brak oznak poważniejszych infekcji. Do korekty tylko jeden program adware / PUP, potem temat jedzie do działu Windows 7. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK. 1. Przez panel sterowania odinstaluj: Ace Stream Media 3.1.6 2. Zastosuj AdwCleaner najpierw z opcji Szukaj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 3. Zrób nowy log FRST i Addition (już bez Shortcut) w celu oceny.
  22. Raporty nie przestawiają oznak infekcji. W spoilerze zdaję działania poboczne, czystko kosmetyczne. Stawiałbym na to, że problem spowodowała aktualizacja z systemu starszego na najnowszy Windows 10 (wiem o aktualizacji, bo harmonogram zadań jest zaśmiecony pustymi wpisami od tego właśnie). W przypadku takiego uszkodzenia kompleksowa reinstalacja systemu wydaję się najkorzystniejszym rozwiązaniem. Temat przenoszę do działu Windows 10.
  23. Wszystko pomyślnie wykonane, przekaż właścicielowi routera, żeby wykonał instrukcję z pkt. 1. Obecny router tak jak mówisz jest w porządku. Teraz proszę o ponowne całościowe przeskanowanie systemu za pomocą MBAM. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Podsumuj obecną stan systemu.
×
×
  • Dodaj nową pozycję...