Miszel03

Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

OK. Jako, że było trochę śladów adware to zrób również log z opcji Skanuj (nie stosuj opcji Oczyść!) w programie AdwCleaner. P.S: jesteś w stanie pokazać mi jakoś ten link? Wystarczy tylko adres. Jeśli tak to wyślij mi go na PW w formie zamaskowanej np.: zamiast http daj hxxp. Teraz wygląda to już w porządku. 1. Przeinstaluj program Skype, pamiętaj, aby zainstalować najnowszą wersję, korzystając ze strony producenta - KLIK. 2. Zmień hasło dostępu do Skype oraz do maila, na którego zarejestrowane jest konto.

OK. Z fusów nie wróże, - dostarcz raport z tego wykrycia. Pokaż jak wygląda historia aktualizacji w Windows Update. To było raczej jednorazowe zdarzenie. Nie upłyną przypadkiem okres próbny? Jeśli nie to przeinstaluj MBAM i zobacz jakie efekty. Na analizę tego raportu musisz dać mi więcej czasu, odpowiem jako nowy post, byś zauważył odpowiedź. Zrób również log z narzędzia Kaspersky TDSSKiller. Jeśli coś wykryje to niczego nie usuwaj, chcę tylko raport.

Detekcja AdwCleaner do usunięcia. Reszta wygląda w porządku, jak oceniasz obecną sytuację, problemy ustąpiły?

Tak możesz spokojnie to zrobić. Ewentualnie na czas późniejszej dezynfekcji (ale dopiero jak zobaczę wyniki) to go wyłączymy.

W systemie znajduję się przeogrmony bałagan, jest zainfekowany przez bardzo zaawansowne i nowoczesne adware. Przykład: Ty w cale nie uruchamiasz przeglądarki Google Chrome, a jej prefabrykowaną i szkodliwą kopię Antper. Mało tego: nie działa Ci również (pewni już zauważyłeś) kompozycja systemu Areo - to sprawka wariantu infekcji Adware.Elex. Jest tu sporo do roboty. Do poczytania: KLIK. 1. Włącz przywracania systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\ChromeHTML: -> C:\Program Files (x86)\Antper\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Antper RemoveDirectory: C:\Users\rober\AppData\Local\Antper C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c656566c7b7954ee\Google Chrome.lnk C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{2AE023E4-E0CB-46F4-A920-9C73C83A0DC5}] => C:\Program Files (x86)\Antper\Application\chrome.exe FirewallRules: [TCP Query User{20B8E752-5263-4905-82B3-9443A2675E55}C:\program files (x86)\amulec3\amule.exe] => C:\program files (x86)\amulec3\amule.exe FirewallRules: [uDP Query User{755A6761-C64D-4214-A0EF-B7C06DE8D72E}C:\program files (x86)\amulec3\amule.exe] => C:\program files (x86)\amulec3\amule.exe FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\program files (x86)\amulec3 RemoveDirectory: C:\Program Files (x86)\Firefox 2017-02-03 11:05 - 2017-02-03 11:05 - 00000000 ____D C:\Users\rober\AppData\Roaming\Firefox 2017-02-03 11:05 - 2017-02-03 11:05 - 00000000 ____D C:\Users\rober\AppData\Local\Firefox HKLM\...\Providers\o0asda6a: C:\Program Files (x86)\Gipareedese Reports\local64spl.dll [289792 2017-01-22] () ShellExecuteHooks: Brak nazwy - {036CBE24-DE3B-11E6-95A0-64006A5CFC23} - C:\Users\rober\AppData\Roaming\Vvuckchvosh\Jujutshnile.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku ShortcutTarget: MEGAsync.lnk -> C:\Users\rober\AppData\Local\MEGAsync\MEGAsync.exe (Brak pliku) ShortcutTarget: Slack.lnk -> C:\Users\rober\AppData\Local\slack\Update.exe (Brak pliku) GroupPolicy: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\Software\Microsoft\Internet Explorer\Main,Start Page = Edge HomeButtonPage: HKU\S-1-5-21-3797074174-2719608703-2427757124-1057 -> hxxp://www.amisites.com/?type=hp&ts=1486116256&z=16564258075786715ef9645gczcb4q8gcg0qcofw0b&from=che0812&uid=SamsungXSSDX840XSeries_S14ENEACC04114J R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [868352 2017-02-03] (TODO: ) [brak podpisu cyfrowego] R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [117760 2017-02-03] () [brak podpisu cyfrowego] R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [183808 2017-02-03] () [brak podpisu cyfrowego] C:\Program Files (x86)\WinArcher C:\Program Files (x86)\Gubed C:\ProgramData\WinSAPSvc R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5] S3 dbx; system32\DRIVERS\dbx.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 4.lnk C:\Users\rober\AppData\Roaming\Microsoft\Excel\ClientList305404890454424919\ClientList.csv.lnk C:\Users\xxx\Links\Filmy.lnk C:\Users\xxx\Favorites\GG dysk.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEGAsync.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Slack.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Slack Technologies\Slack.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MEGAsync\MEGA Website.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MEGAsync\MEGAsync.lnk C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MEGAsync\Uninstall.lnk Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Skasuj i załóż nowe profile w przeglądarce Google Chrome oraz Mozilla FireFox, - ze względu na aktywność nowoczesnego adware ten krok jest wymagany. ----> Otwórz przeglądarkę Google Chrome, następnie Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > zalogować się na nią, zamknij okno poprzedniego profilu >wjedź ponownie do sekcji Osoby i skasować wszystkie poprzednie pozycje. Ustaw również przeglądarkę Google Chrome jako domyślna (w systemie grasowała podszywka) - KLIK. ----> Kliknij klawisz Windows oraz klawisz R, następnie wklej komendę C:\Program files (x86)\Mozilla Firefox -p lub C:\Program Files\Mozilla Firefox\firefox.exe -p > załóż nowy profil, wszystkie poprzednie skasuj. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). antper Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak aktywnej infekcji, ale takie zachowanie temu zaprzecza. System doczyszczam z adware i śladów po innych infekcjach, sprzątam również po innych programach. Przeprowadzimy całościowy skan systemu (poprzez renomowany MBAM) i zabezpieczymy konto Skype. Akcja. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X] S3 ATP; system32\DRIVERS\cmdatp.sys [X] S1 Capsax64Drv0; System32\Drivers\Capsax64Drv0.sys [X] S1 CSN5PDTS82; System32\Drivers\CSN5PDTS82.sys [X] S1 CSN5PDTS82x64; System32\Drivers\CSN5PDTS82x64.sys [X] S1 CsNdisLWF; System32\Drivers\CsNdisLWF.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] U3 kxddqpow; \??\C:\Users\ZAWODO~1\AppData\Local\Temp\kxddqpow.sys [X] Task: {81331BAC-0336-472E-8C62-C11D818EBC4A} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {9ED3FA42-6CFA-4ADD-8D4F-1B1EA337C464} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert Online.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Solid Edge ST6\Standard Parts\Installation Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Solid Edge ST6\Standard Parts\User Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of the Storm Public Test\Heroes of the Storm Public Test.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Desert Online\Black Desert Online.lnk C:\Users\ZawodowieC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome Canary.lnk C:\Users\ZawodowieC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\ZawodowieC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ZawodowieC\AppData\Local\Mozilla C:\Users\ZawodowieC\AppData\Roaming\Mozilla C:\Users\ZawodowieC\AppData\Roaming\Profiles CMD: dir /a "C:\Users\ZawodowieC\AppData\Roaming" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. W razie wykrycia czegoś, przedstaw raport nie usuwając detekcji. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Narzędzie FRST i jego raporty itd. możesz skasować - KLIK.

Na przyszłość: opcja "Zgłoś" przy każdym poście nie służy do przypominania mi o temacie. To jest opcja, której można użyć tylko i wyłącznie gdy widzisz jakieś zachowania łamiące regulamin forum. Jeśli nie odpowiadam w temacie naprawdę długo to należy do mnie napisać PW lub napisać post w tym temacie: KLIK. 1. Wszystkie następne zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). Dostarcz raport z tego działania. 2. Zrób nowy zestaw raportów FRST, by nie pracować na starych logach.

W systemie nadal siedzi infekcji i grasuje adware. Szybko to wyleczymy. Do poczytania: KLIK. 1. Spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files\żěŃą. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...\Run: [] => 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku Startup: C:\Users\Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia U0 aswVmm; Brak ImagePath C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Komputer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Komputer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911\The Elder Scrolls V Skyrim\The Elder Scrolls V Skyrim.lnk C:\Users\Komputer\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Komputer\Desktop\Programy\Avast Free Antivirus.lnk C:\Users\Komputer\Desktop\Programy\Malwarebytes Anti-Malware.lnk C:\Users\Komputer\Desktop\Programy\Mozilla Firefox.lnk C:\Users\Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Program Files\żěŃą DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Komputer\AppData\Local\Mozilla\Firefox C:\Users\Komputer\AppData\Roaming\Mozilla\Firefox C:\Users\Komputer\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 3. Upewnij się, że program AdwCleaner nie wykrywa już żadnych zagrożeń. Jeśli wykrywa to niczego nie usuwając dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie nie ma dużo infekcji adware, jest za to jedna, ale podstępna jak cholera. Uruchamiając przeglądarkę Google Chrome w cale nie uruchamiasz właściwej, a podrabianą. Dezynfekcja systemu. 1. Wszystkie (patrz niżej) zagrożenia wykryte przez Malwarebytes daj do kasacji. RiskWare.GameHack, C:\PROGRAM FILES (X86)\CALL OF DUTY GHOSTS\STEAM_API.DLL, Brak akcji, [556], [305544],1.0.1064 RiskWare.GameHack, C:\PROGRAM FILES (X86)\CALL OF DUTY GHOSTS\STEAM_API64.DLL, Brak akcji, [556], [305544],1.0.1064 Z powyższym zrobisz co chcesz, chyba doskonale wiesz od czego to jest. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-365846669-4194548096-2659683666-1001\...\Policies\Explorer: [NoInternetOpenWith] 1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Edge HomeButtonPage: HKU\S-1-5-21-365846669-4194548096-2659683666-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1457953131&z=674c554e5ddccccaae68d21g8z6w1mctdw9c8e8t5w&from=wpm0314&uid=WDCXWD10JPCX-24UE4T0_WD-WX61A84FX4VTFX4VT CHR DefaultSearchURL: Default -> hxxps://secure.homepage-web.com/?partner=lenovo&src=omnibox&q={searchTerms} CHR DefaultSearchKeyword: Default -> homepage-web.com CHR DefaultSuggestURL: Default -> hxxps://secure-suggest.homepage-web.com/suggest?format=json&locale={language}&q={searchTerms} S3 dbx; system32\DRIVERS\dbx.sys [X]\ HKU\S-1-5-21-365846669-4194548096-2659683666-1001\...\ChromeHTML: -> "C:\Program Files (x86)\Hipbear\Application\chrome.exe" "%1" RemoveDirectory: C:\Program Files (x86)\Hipbear Task: {25927892-23AA-4AB9-B5FD-BFB08B930231} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File Task: {5560088A-0736-4107-A747-529FCD8852B5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File Task: {8B312DDE-20D7-4DF4-937E-F70AB8738BA5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File Task: {A4177511-4CDA-4B46-ABB4-1273C80D4808} - \WPD\SqmUpload_S-1-5-21-365846669-4194548096-2659683666-1001 -> No File Task: {AC820BA5-903E-41F5-A685-A8171B9476F0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File Task: {C5938596-33A3-41D4-83A2-E8A0F9279DDA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File C:\Users\Jadwiga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\Jadwiga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mahjong.lnk C:\Users\Jadwiga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\Jadwiga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Jadwiga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk C:\Users\Jadwiga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Jadwiga\AppData\Local\Mozilla C:\Users\Jadwiga\AppData\Roaming\Mozilla C:\Users\Jadwiga\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). Hipbear Obok FRST] powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Sprawdź czy AdwCleaner coś jeszcze wykrywa. Jeśli wykrywa to niczego nie usuwając dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To sugeruje uszkodzony plik od tego programu. Spróbuj wejść w tryb awaryjny (kliknij klawisz F8 przed startem systemu) i odinstaluj program program McAfee, następnie jak tryb normalny wstanie możesz go zainstalować ponownie.

Spokojnie, wyplewimy dziadostwo. Na razie jedziemy dalej, kilka elementów się przywróciło = gdzieś to musi siedzieć, bo te reklamy nie wyglądają na normalne i nic się samo nie przywraca. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-3274260535-2468400652-3968369242-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012017085230127\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-3274260535-2468400652-3968369242-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02012017085251150\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_tom615.job => C:\Users\tom615\Documents\American Truck Simulator\readme.rtf.lnk DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą narzędzia HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Dostarcz wymagane raporty systemowe FRST oraz GMER. Dodatkowo proszę również o wykonanie raportu z podpiętym omawianym dyskiem z opcji Research w narzędziu USBFix.

System zweryfikowany przez dział Malware - KLIK. Odświeżam.

1. Na przyszłość: Dokładnie czytaj moje instrukcje, już po skanowaniu AdwCleaner zdecydowałeś się na dezynfekcje, a ja prosiłem tylko o skan. AdwCleaner to bardzo dobre narzędzia, ale trzeba z nim uważać. 2. System wyczyszczony, temat zostaje tutaj, tamten odświeżam.

Jak nie zniknie po finalizacji dezynfekcji to usuniesz ją ręcznie poprzez klik PPM. Reszta z mojej strony również wygląda w porządku, więc będziemy kończymy. Usuń narzędzia diagnosyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Kończymy. Usuń narzędzia diagnosyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK.

Bardzo dziękuję w imieniu całego zespołu Fixitpc.pl! Podsumowuje: zapora działa, raporty wyglądają już w porządku. Pozostało m tylko zapytać czy wg Ciebie możemy kończyć?

Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Czytaj uważnie moje polecenia, bo oprócz początkowego braku raportów nie dostarczyłeś również logu z AdwCleanera. Jedziemy dalej, już jest lepiej (jak piszesz i jak ja widzę) i będziemy po woli kończyć. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Users\Agnieszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Maxthon Cloud Browser.lnk C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\Application Shortcuts\AD2F1837.HPPrinterControl_v10z8vjag6ke6\AD2F1837.HPPrinterControl.lnk SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Birdkiss DeleteKey: HKEY_USERS\S-1-5-21-3942667054-2751492886-1119013112-1001\Software\Birdkiss RemoveDirectory: C:\Program Files (x86)\ghokswa Browser RemoveDirectory: C:\ProgramData\Birdkiss FirewallRules: [{B1B1F2E7-B384-4F71-B75C-650BD279493F}] => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe FirewallRules: [{072065ED-5026-4673-9C96-A93A044431A3}] => C:\Program Files (x86)\Birdkiss\Update\BirdkissUpdate.exe FirewallRules: [{33D8B101-B72C-4E72-AD1C-AF5D2660FE46}] => C:\Program Files (x86)\Birdkiss\Application\chrome.exe FirewallRules: [{41BBC8C9-744C-4832-9C67-BE0AA6BA28FE}] => C:\ProgramData\Birdkiss\Birdkiss.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Dostarcz również zaległy raport z AdwCleanera.

Jedziemy dalej. 1. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware (masz na dysku, ale pamieej o aktualizacji!). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 2. Zrób nowy zestaw raportów FRST i jeśli to możliwe dostarcz wygląd tej reklamy (np. zrób screena).

Zadanie pomyślnie wykonane. Temat przenoszę do działu Software.

1. Wszystkie zagrożenia wykryte przez AdwCleaner'a daj do usuwania (używając opcji Oczyść). Dostarcz z tego raport. 2. Po powyższym działaniu od strony infekcji już będzie OK, więc temat przenoszę (jak zobaczę raport z AdwCleaner) do działu Software.

1. Wszystkie zagrożenia wykryte przez AdwCleaner'a daj do kasacji (używając opcji Oczyść). Dostarcz raport z tego działania. 2. Zrób nowy zestaw raportów FRST, bo te są już nieaktualne, a już zwłaszcza po wykonaniu górnego działania.