Miszel03

System generalnie wygląda nie za ciekawie, widać elementy infekcji, prawdopodobne uszkodzenie usług systemu... Zresztą czy ten system jest w ogóle legalny? 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2233067444-3956690031-3839177741-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-2233067444-3956690031-3839177741-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 GroupPolicy\User: Ograniczenia GroupPolicyUsers\S-1-5-21-2233067444-3956690031-3839177741-1003\User: Ograniczenia U3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\Users\Mat\installshield_scm.reg C:\Users\Mat\scm.reg C:\Users\Mat\Links\Dysk Google.lnk Unlock: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE Reg: "reg query HKLM\SYSTEM\CurrentControlSet\services\mpsdrv" /s Reg: "reg query HKLM\SYSTEM\CurrentControlSet\services\MpsSvc" /s Reg: "reg query HKLM\SYSTEM\CurrentControlSet\services\bfe" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Widzę tutaj dziwne wpisy dot. usług zabezpieczających (i raczej nie jest to sprawka COMOD, bo podstawowy aparat filtrowane (BFE) jest zablokowany), zrób raport z Farbar Service Scanner, dodatkowo pobieram również wygląd całych kluczy usług w skrypcie. mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. bfe => Usługa "Zapora systemu Windows" nie jest uruchomiona. Sprawdź usługę "winmgmt" lub napraw WMI. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

System był niewątpliwie zainfekowany przez nowoczesne infekcje adware - m.in sklonowana przeglądarką podszywająca się pod Google Chrome, jak wspominałeś pod montowane polityki grup pełniące role ochronną infekcji. Do poczytania: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {576BF9DA-313D-43A9-980A-30813AE6F8DC} - System32\Tasks\BirdkissUpdateTaskMachineUA => C:\Program Files (x86)\Birdkiss\Update\BirdkissUpdate.exe Task: {5C92BBC2-2C93-4EEA-B590-EEB8A8ED90D5} - System32\Tasks\BirdkissUpdateTaskMachineCore => C:\Program Files (x86)\Birdkiss\Update\BirdkissUpdate.exe RemoveDirectory: C:\Program Files (x86)\Birdkiss HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3942667054-2751492886-1119013112-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3942667054-2751492886-1119013112-1001 -> {CC4F1DD5-D3C8-4708-A459-A695DFFC17BC} URL = C:\Users\Agnieszka\Documents\KADROWE_2015\KADROWE2014.lnk C:\Users\Agnieszka\Desktop\Wspolny (plutos) (W) — skrót.lnk C:\Users\Agnieszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\Agnieszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1063777393_pl.lnk C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1340596509_pl.lnk C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3045792355_pl.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk C:\Users\Public\Desktop\Google.lnk C:\Users\Public\Desktop\Twitter.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Agnieszka\AppData\Local\Mozilla C:\Users\Agnieszka\AppData\Roaming\Mozilla C:\Users\Agnieszka\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). Birdkiss Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie widoczne aktywne infekcji adware / PUP i to teraz staję się naszym priorytetem. Jeśli chodzi o problem ze Skype to problem nie jest na miarę tego działu. Po dezynfekcji temat zwiedzi również dział Software. 1. Przez panel sterowania odinstaluj: Zbędniki / sponsorzy instalacyjni: McAfee Security Scan Plus. Adware / PUP: Amazon 1Button App, Booking.com version 1.1.0.5019. Wątpliwe oprogramowania zabezpieczające: ByteFence Anti-Malware. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: S3 ACTION_SVC; C:\Program Files (x86)\Mirillis\Action!\action_svc.exe [X] S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.4.127.0 [X] CustomCLSID: HKU\S-1-5-21-3754765818-758370059-632816744-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Mariusz\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {232316FF-BEFF-45B0-88FF-4D549A97EBBB} - System32\Tasks\{70F93F51-C4A1-4BBC-A790-533DE55AD7C4} => pcalua.exe -a C:\Users\Mariusz\AppData\Local\Temp\Temp1_SHARP_AR-1808S_SPLC_drv111115.zip\AR-1808S\Setup.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Doczyszczę system pod kątem infekcji adware / PUP i odeślę Cię do tamtego działu. P.S: Dostarcz ten log z MBAM, o którym pisaliśmy w tamtym dziale 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2458606494-2897796702-3389535095-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 GroupPolicy: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia StartMenuInternet: FIREFOX.EXE - D:\PROGRAMY\firefoxx64\firefox.exe S2 amdacpksd; Brak ImagePath Task: {1CAB31BC-3CD8-4BB5-9996-CBA0AB8EABFC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {46EFE0C4-E00C-4F06-A990-27DC2F93892D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {579A4B30-2B3C-4E63-B919-44EDE1025C1E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {59C63EED-1B93-4E81-8546-DC7343EDF6C8} - \WPD\SqmUpload_S-1-5-21-2458606494-2897796702-3389535095-1001 -> Brak pliku Task: {843760A5-1AA7-4E37-B7EE-0AA77C27DBBF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {910004CC-C1B0-40C0-A3ED-49F2CE00F5EE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {AFBB9DF6-EA22-4435-A8B7-151CA0098064} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {BF30D326-A839-4CAC-89FB-7451D65654F1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D2CC027A-8C8B-4CD5-8ACA-E8E40ECFE129} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {D894E886-D298-41CB-B0C9-8A4C704D7DF2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {EAD5C2D1-D828-4530-8103-7C0279952D69} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {F269AC85-3441-4BB6-A2FD-E734DC06656B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku ShortcutWithArgument: C:\Users\A101\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=gidgenkbbabolejbgbpnhbimgjbffefm DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyślnie wykonane - teraz jest już OK. Ze strony tego działu to by było na tyle.

Wygląda to już w porządku, jak oceniasz obecną sytuacje?

tom615 na początku chciałbym przeprosić za przeoczenie Twojego tematu, ale na przyszłość chciałbym, byś wiedział, że wykazanie inicjatywy z Twojej strony nie boli - Zgłaszanie tematów bez odpowiedzi. W systemie nadal widoczne elementy adware, zdolne wyświetlać reklamy. P.S: LEGO Batman 3 Beyond Gotham version 1.0 ta aplikacja jest flagowana w FRST jako podejrzana, wg mnie to fałszywy alarm. Zostawiam to pod ocenę indywidualną. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\Software\Microsoft\Internet Explorer\Main,Start Page = S3 cpuz138; \??\C:\Users\tom615\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] C:\Users\tom615\Documents\American Truck Simulator\readme.rtf.lnk C:\Users\tom615\Desktop\Dysk USB (G).lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\tom615\AppData\Local\Mozilla C:\Users\tom615\AppData\Roaming\Mozilla C:\Users\tom615\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

The start type of bfe service is set to Disabled. The default start type is Auto. MSCONFIG\Services: BFE => 2 bfe => Usługa "Zapora systemu Windows" nie jest uruchomiona. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. To sugeruje, że zapora jest tylko wyłączona. 1. Wszystkie zagrożenia wykryte przez MBAM daj do kasacji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.29.2\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom services.msc i w oknie usług odnajdź usługę Zapory systemu Windows, a następnie ustaw ją na uruchamianie automatyczne, sprawdź czy działa zapora. Jeśli nie, wykonaj również to: KLIK i to osobno włączysz MpsSvc również poprzez services.msc. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Wykonujesz skanowanie, odznaczasz omawiany element i klikasz w Oczyść.

1. Wszystkie zagrożenia wykryte przez MBAM daj do usunięcia. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: IFEO\SppExtComObj.exe: [Debugger] SppExtComObjPatcher.exe SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Podsumuj obecny stan systemu, napisz czy problem ustąpił itd.

W raportach brak oznak infekcji. W spoilerze zadaję działania poboczne, kasacja szczątek adware / PUP.

wiesiek21 Ograniczamy się tylko do sprzątania po adware / PUP. Potem temat leci do działu pozostałe zagadnienia komputerowe. Do poczytania: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1 HKU\S-1-5-21-579444-3698532679-2729516164-1000\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-579444-3698532679-2729516164-1000\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-21-579444-3698532679-2729516164-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope - brak wartości FF Extension: (Dealbeaver) - C:\Users\Wiesiek\AppData\Roaming\Mozilla\Firefox\Profiles\cfy8dndx.default\Extensions\dealbeaver@dealbeaver.org.xpi [2016-05-04] FF Extension: (Sparpilot) - C:\Users\Wiesiek\AppData\Roaming\Mozilla\Firefox\Profiles\cfy8dndx.default\Extensions\sparpilot__campaign30@sparpilot.com [2016-07-05] S3 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [X] S3 catchme; \??\C:\Users\Wiesiek\AppData\Local\Temp\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 STHDA; system32\DRIVERS\stwrt.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystkie (prócz C:\Program Files (x86)\Common Files\SERVICES\ITHEMES.DLL) zagrożenia z AdwCleaner daj do usuwania (używając opcji Oczyść). Następnie powtórz skan i upewnij się, że już nic nie jest wykrywane. Jeśli jest to powtarzasz czyszczenie do wyniku zero zagrożeń (pomijasz C:\Program Files (x86)\Common Files\SERVICES\ITHEMES.DLL) . Zrób nowy zestaw raportów FRST w celu oceny i dokonania poprawek.

Już zbliżamy się do finalizacji sprawy 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR Profile: C:\Users\And-solar\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-27] 2017-01-25 14:24 - 2017-01-26 17:16 - 00000000 ____D C:\Program Files (x86)\UCBrowser 2017-01-25 14:24 - 2017-01-25 14:24 - 00000000 ____D C:\Users\And-solar\AppData\Local\UCBrowser ShortcutWithArgument: C:\Users\And-solar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\And - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4" ShortcutWithArgument: C:\Users\And-solar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Zajmujemy się usunięciem aktywnej infekcji (bo taka tutaj grasuje) i od razu poborem danych z usług na temat stanu usługi Zapory systemu i przywracania systemu (wpis o weryfikacji winmgmt to sugeruje). Na razie mogę przypuszczać (na bazie niedoskonałych w tym przypadku raportów FRST), że uszkodzony (lub po prostu wyłączony) jest podstawowy aparat filtrowania BFE i zapora systemu Windows. 1. Włącz przywracanie systemu (a przynajmniej spróbuj). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [installerLauncher] => "C:\Users\Seba\AppData\Local\Temp\GZ_INSTALL_0\setuplauncher.exe" /run:"C:\Users\Seba\AppData\Local\Temp\GZ_INSTALL_0\Installer.exe" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2441937318-2594584175-3204281650-1000\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {25A3A431-30BB-47C8-AD6A-E1063801134F} - Brak pliku U0 aswVmm; Brak ImagePath U3 idsvc; Brak ImagePath S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] U3 wpcsvc; Brak ImagePath C:\Users\Seba\Links\koko.lnk Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE" /s Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc" /s Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv" /s Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt"/s Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wykonaj raport dodatkowy informującym o stanie usług systemu Windows za pomocą narzędzia Farbar Service Scanner (FSS). Raport zaprezentuj na forum. 4. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie nadal widoczne elementy adware zdolne wyświetlać reklamy itd. To są właśnie skutki nie posiadania oprogramowania zabezpieczającego. Do poczytania: KLIK. Dezynfekcja. 1. Przez panel sterowania odinstaluj zbędnik: Akamai NetSession Interface. Wejdź również do folderu C:\Program Files (x86)\Tencent i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTRAY.EXE" /regrun /qqrepair ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => -> Brak pliku S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] U3 aftcqaog; \??\C:\Users\Alek\AppData\Local\Temp\aftcqaog.sys [X] Task: {A9757668-54B4-4A2A-AC27-41E877E25FCA} - System32\Tasks\httppine-thisorgwebsm => Firefox.exe hxxp://pine-this.org/websm ShortcutWithArgument: C:\Users\Public\Desktop\VideoStudio Learning.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.studiobacklot.tv/videostudio C:\Users\Alek\Desktop\FOLDERY\Nowy folder (6)\Sexy Beach Premium Resort.lnk C:\Users\Alek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ĂŔÍĽäŻŔŔ.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ĂŔÍĽäŻŔŔ\ĂŔÍĽäŻŔŔ.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ĂŔÍĽäŻŔŔ\жÔŘ.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KONAMI\Yu-Gi-Oh! Power of Chaos YUGI\SaveFiles.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter\GDSMux.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter\Uninstall.lnk C:\ProgramData\Baidu\BaiduAn\SWManager\百度卫士-软件管理.lnk Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Pomyślne wykonane. Koniec.

Jest to plik AdwCleanerS[0].

Wygląda to już o wiele lepiej. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku C:\Program Files\żěŃą 2017-01-29 19:10 - 2015-11-29 20:53 - 00000000 ____D C:\Users\Admin\AppData\Roaming\lORoXkvpbymAtVNB 2017-01-29 19:10 - 2014-09-12 07:09 - 00002245 _____ C:\Users\Admin\Desktop\Program uruchamiający aplikacje Chrome.lnk 2017-01-29 12:36 - 2017-01-29 12:43 - 00000000 ____D C:\Program Files (x86)\UCBrowser 2017-01-29 12:36 - 2017-01-29 12:36 - 00000456 _____ C:\Windows\Tasks\UCBrowserUpdater.job 2017-01-29 12:36 - 2017-01-29 12:36 - 00000000 ____D C:\Users\Admin\AppData\Local\UCBrowser CustomCLSID: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Admin\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: C:\Windows\Tasks\UCBrowserUpdater.job => EmptyTemp: 2. Całościwo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Do uprzątnięcia tylko adware / PUP. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: WinThruster (Version: 1.16.8 - Solvusoft Corporation) Hidden Task: {C8E852FA-47A4-41BB-BB9D-FDE12B23E3AA} - System32\Tasks\{36DD8BEF-E447-42BF-B146-52FCE5A5BCAD} => pcalua.exe -a "C:\Users\oem\Local Settings\Application Data\Bundled software uninstaller\bi_client.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" Task: {ED597DAE-A2A6-44A2-8994-A1897062FCE5} - \DealPlyUpdate -> Brak pliku HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll -> Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-1647252974-3095050011-3060494684-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1420044940&from=cor&uid=WDCXWD10EADS-22M2B0_WD-WMAV5132230422304&q={searchTerms} HKU\S-1-5-21-1647252974-3095050011-3060494684-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1420044940&from=cor&uid=WDCXWD10EADS-22M2B0_WD-WMAV5132230422304&q={searchTerms} BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll => Brak pliku BHO-x32: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku S3 gdrv; \??\C:\Windows\gdrv.sys [X] C:\Users\oem\Network_Meter_Data.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez panel sterowania odinstaluj (powinny być dwa): WinThruster WinThruster 3. W celu oceny: zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Dopiero teraz zauważyłem, że program Traffic Exchange był ukryty (teraz go odkryjemy i spróbujemy odinstalować, choć myślę, że teraz to już resztka). Na razie tylko tyle, bo nie chcę pracować na starych logach. 1. Otwórz Notatnik w nim wklej: Traffic Exchange (x32 Version: 1.15.3 - Microleaves) Hidden Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj: Traffic Exchange. 3. Zrób nowy zestaw raportów FRST.

Co do Traffic Exchange (bo nic na temat innych nie napisałeś) to zauważyłem, że on jest ukryty - pewnie dlatego nie mogłeś go odinstalować. 1. Otwórz Notatnik w nim wklej: Traffic Exchange (x32 Version: 2.0.0 - Microleaves) Hidden Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj Traffic Exchange. 3. Wszystkie zagrożenia znalezione przez AdwCleaner daj do usuwania (używając opcji Oczyść). 4. Zrób nowy zestaw raportów FRST.

Prawym na pulpit - utwórz plik tekstowy - nazwij GMER.txt - otwórz log z gmera, CTRL + A, wklej zawartość do nowego pliku GMER.txt CTRL + V - dołącz. W systemie kolosalny bałagan spowodowany przez adware / PUP. Na szczęście da się to wszystko łatwo wyleczyć. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Zbędniki / sponsorzy instalacyjni: McAfee Security Scan Plus. Programy Adware / PUP: Setup, Rest Web. Wejdź do wymienionych folderów C:\Program Files (x86)\Tencent, C:\Program Files (x86)\CinemaPlus-3.2cV24.06, C:\Program Files (x86)\Mail.ru i z ich poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0B5B5DC6-81C2-4A63-A815-29DB9CD2F15F} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-10_user => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-10.exe Task: {0DAEA186-B6AF-4923-BDB6-A8D4B9F55817} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-7 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-7.exe Task: {214CC1B3-F248-4BA8-91D1-5CBB95B047AC} - System32\Tasks\FileSystemDriver => C:\Users\pc\AppData\Local\FileSystemDriver\FileSystemDriver.exe [2017-01-28] () Task: {22C6E374-0574-414E-9EE2-818BAA62C6A0} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-06-24] (globalUpdate) Task: {58ECD2D6-31B1-4CD8-869E-2A0C4B0F5D71} - System32\Tasks\fupdate => C:\Users\pc\AppData\Local\fupdate\fupdate.exe [2017-01-28] () Task: {759347D2-14A2-451E-9E1E-43D3C801B9B1} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-06-24] (globalUpdate) Task: {9FAADC18-A9E3-4BC0-858A-4B8987BAAE24} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-1-7 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-1-7.exe Task: {A6ABE107-D394-4AE3-8B3A-FC036E5AF471} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-3 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-3.exe Task: {B846C24E-E570-406C-9F79-B481C880FA61} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-5 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-5.exe Task: {BCE32E8C-348E-4863-84C0-4DEA20CBC4F9} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-1-6 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-1-6.exe Task: {D3796662-E367-4B4F-9ADF-F96CCB79882B} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2017-01-10] (Adobe Systems Incorporated) Task: {F769182B-F1D0-411C-9F92-2747A8D0D0EF} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-4 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-4.exe Task: {F801F8CB-8D39-4078-AE67-920A07899A16} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-5_user => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-5.exe Task: {FCFF1B54-886F-4887-A6D5-0D8BD1C7034E} - System32\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-6 => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-6.exe Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-1-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-1-6.exe Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-1-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-1-7.exe Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-10_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-10.exe Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-3.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-3.exe Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-4.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-4.exe Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-5.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-5.exe Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-5_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-5.exe Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-6.exe Task: C:\Windows\Tasks\65219242-79ab-4de6-bfa5-454dce68ab29-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV24.06\65219242-79ab-4de6-bfa5-454dce68ab29-7.exe C:\Program Files (x86)\CinemaPlus-3.2cV24.06 Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe ShortcutWithArgument: C:\Users\pc\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://acrora.ru/?utm_source=startlink03&utm_content=8d3a539e10c1a20ac78416c7005b6bb5&utm_term=90D35012670ED92B503066E49D381AE4&utm_d=20170128" ShortcutWithArgument: C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008" ShortcutWithArgument: C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> /idx14 ShortcutWithArgument: C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://acrora.ru/?utm_source=startlink03&utm_content=8d3a539e10c1a20ac78416c7005b6bb5&utm_term=90D35012670ED92B503066E49D381AE4&utm_d=20170128" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> /idx8 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> /idx14 HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [mbot_pl_014010011] => [X] HKLM-x32\...\Run: [gmsd_pl_005010011] => [X] HKLM-x32\...\Run: [gmsd_pl_005010012] => [X] HKU\S-1-5-21-787758283-2403446144-2480423893-1000\...\Run: [bzbgbyyzya] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=90D35012670ED92B503066E49D381AE4&utm_d=20170128" ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia KLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=91413235_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1431268979&z=1b5bad26b96245ed31eec19gbzdc2g5ocqbb1t3m1t&from=cor&uid=ST3320310CS_9TX05NMHXXXX9TX05NMH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1431268979&z=1b5bad26b96245ed31eec19gbzdc2g5ocqbb1t3m1t&from=cor&uid=ST3320310CS_9TX05NMHXXXX9TX05NMH&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1431268979&z=1b5bad26b96245ed31eec19gbzdc2g5ocqbb1t3m1t&from=cor&uid=ST3320310CS_9TX05NMHXXXX9TX05NMH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1431268979&z=1b5bad26b96245ed31eec19gbzdc2g5ocqbb1t3m1t&from=cor&uid=ST3320310CS_9TX05NMHXXXX9TX05NMH&q={searchTerms} HKU\S-1-5-21-787758283-2403446144-2480423893-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013 SearchScopes: HKLM -> OldSearch URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1431268979&z=1b5bad26b96245ed31eec19gbzdc2g5ocqbb1t3m1t&from=cor&uid=ST3320310CS_9TX05NMHXXXX9TX05NMH&q={searchTerms} SearchScopes: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811014 SearchScopes: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> {A060E7FB-91F5-4c7c-BD0F-4A11A581D878} URL = hxxps://www.baidu.com/s?wd={searchTerms}&tn=96010190_dg SearchScopes: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811014 BHO: Brak nazwy -> {72a94386-d7dd-4032-86b6-e013e104f0ab} -> Brak pliku BHO-x32: Brak nazwy -> {72a94386-d7dd-4032-86b6-e013e104f0ab} -> Brak pliku BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\pc\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-01-28] (Mail.Ru) BHO-x32: Express Find -> {d39539bb-f65e-4088-a9d1-6e5f01a42a3e} -> C:\Program Files (x86)\Express Find\Extensions\d39539bb-f65e-4088-a9d1-6e5f01a42a3e.dll => Brak pliku BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll => Brak pliku Toolbar: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Toolbar: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Toolbar: HKU\S-1-5-21-787758283-2403446144-2480423893-1000 -> Brak nazwy - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - Brak pliku CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR StartupUrls: Default -> "hxxps://www.google.pl/?gfe_rd=cr&ei=I0VUVamBJMyv8wfQjIC4BQ&gws_rd=ssl" OPR Extension: (GoHD) - C:\Users\pc\AppData\Roaming\Opera Software\Opera Stable\Extensions\fijhlnmmmgflacagjecncpmpnhjieggk [2015-06-24] OPR Extension: (CinemaPlus-3.2cV24.06) - C:\Users\pc\AppData\Roaming\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-06-24] S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-06-24] (globalUpdate) [brak podpisu cyfrowego] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-06-24] (globalUpdate) [brak podpisu cyfrowego] C:\Program Files (x86)\globalUpdate S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.4.127.0 [X] S2 mihehene; C:\Users\pc\AppData\Roaming\03AA02FC-1435143471-0585-9A06-680700080009\knsh5C2C.tmpfs [X] S2 xoperoze; C:\Users\pc\AppData\Roaming\03AA02FC-1435143471-0585-9A06-680700080009\jnsx7628.tmp [X] S2 zedepory; C:\Users\pc\AppData\Roaming\03AA02FC-1435143471-0585-9A06-680700080009\hnsh8CA6.tmp [X] S1 cherimoya; system32\drivers\cherimoya.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16790.224\QMUdisk64.sys [X] S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16790.224\TS888x64.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin\Origin Error Reporter.lnk C:\Users\pc\Desktop\gry\Wiedźmin 2 Edycja Rozszerzona.lnk C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Jolka II\Edytor baz dla programu Jolka.lnk C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Jolka II\Jolka II.lnk C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Jolka II\Odinstaluj Jolkę II..lnk C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\League of Legends.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program files (x86)\Mozilla Firefox -p lub C:\Program Files\Mozilla Firefox\firefox.exe -p > załóż nowy profil, wszystkie poprzednie skasuj. 4. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Proponuje dostarczyć również raporty FRST oraz GMER w celu weryfikacji systemu pod kątem infekcji.

Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Proponuje odinstalować SpyBota, bo to program przestarzały.