Miszel03

Jeszcze raz powtórzę: Start > Wyszukaj Programy I Pliki > C:\AdwCleaner > Wyszukujesz plik z raportem (ma być tekstowy) i go dostarczasz. To co aktualnie otrzymałem to obrazek

Opis stanu systemu napisany przez Ciebie pokrywa się praktycznie w całości z tym co ja widzę w logach, więc pozwolisz, że odpuszczę sobie pisanie tego samego. Taka sytuacja to jest właśnie skutek nie posiadania oprogramowania zabezpieczającego. Do poczytania: KLIK. Dezynfekcja. 1. Przez panel sterowania odinstaluj: Traffic Exchange Wejdź do wymienionych folderów: C:\Program Files (x86)\UCBrowser, C:\Program Files\żěŃą i z ich poziomu spróbuj uruchomić deinstalator (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\...\Run: [xHHuaTIlq7ah7lmg] => C:\Users\Admin\AppData\Roaming\lORoXkvpbymAtVNB\MKiWf5.lnk [740 2017-01-29] () C:\Users\Admin\AppData\Roaming\lORoXkvpbymAtVNB\MKiWf5.lnk HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\...\Run: [msiql] => C:\Users\Admin\AppData\Local\Temp\00007460\msiql.exe [2072064 2017-01-29] () HKU\S-1-5-18\...\Run: [] => 0 ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-29] () SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2017-01-29] () [brak podpisu cyfrowego] C:\ProgramData\service.exe R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-01-29] () C:\Program Files\żěŃą S3 Sony PC Companion; "C:\Program Files (x86)\Sony\Sony PC Companion\PCCService.exe" [X] S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\Users\Admin\AppData\Local\Temp\00007460\msiql.exe C:\ProgramData\MKiWf5.exe Task: {3D705E37-F180-4DC0-9BA2-0B1271B21423} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\88D7~1\X86\Update.exe Task: {47DEB4AD-75FE-448C-8D72-FD7ED0C1D0BE} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {8E71CB49-4EA0-42BC-B3CE-E4F4874A89A7} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Admin\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Admin\Desktop\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652] AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026] AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [137] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Admin\AppData\Local\Mozilla C:\Users\Admin\AppData\Roaming\Mozilla C:\Users\Admin\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie. Najpierw skanujesz i usuwasz, a dopiero po tym generujesz nowe raport FRST. .

Nie dostarczyłeś raportu z AdwCleanera, przez co rozumiem, że nic nie wykrył. Pozostało mi zapytać czy problem z nachalnymi reklamami ustąpił?

W raportach brak oznak infekcji. Zadań kosmetycznych nie zadaję, bo są one znikome. Temat przenoszę do działu Windows 7.

Brak charakterystycznej usługi PowerManager na pliku C:\WINDOWS\svchost.exe (nie mylić z systemowym C:\WINDOWS\system32\svchost.exe), więc nie jestem pewien do Twojej diagnostyki. Całościowo przeskanuj wszystkie dyski za pomocą Kaspersky Virus Removal Tool. Skanowanie i dezynfekcja ma być powtarzana do wyniku zero infekcji. Po tym zabiegu zrób nowy zestaw raportów FRST i dostarcz raporty ze wszystkich skanów KVRT. Dopiero po tym wyczyszczę system z resztek adware / PUP.

Raport AdwCleaner niepoprawny, przeczytaj raz jeszcze pkt. 4 i pkt. 5.

W systemie widać elementy infekcji adware / PUP. Dezynfekcja. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] GroupPolicy: Ograniczenia SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku S3 catchme; Brak ImagePath S3 BTCFilterService; system32\DRIVERS\motfilt.sys [X] S3 cpuz138; \??\C:\Users\Maciej\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S4 IMFFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\IMFFilter.sys [X] S3 motccgp; system32\DRIVERS\motccgp.sys [X] S3 motccgpfl; system32\DRIVERS\motccgpfl.sys [X] S3 MotoSwitchService; system32\DRIVERS\motswch.sys [X] S3 Motousbnet; system32\DRIVERS\Motousbnet.sys [X] S3 motusbdevice; system32\DRIVERS\motusbdevice.sys [X] S3 RegFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] Task: {2A69F275-BD30-4F21-9E9C-DC819961B019} - System32\Tasks\livesnews => Chrome.exe hxxp://livesnews.ru/cilism C:\Users\Maciej\AppData\Roaming\Microsoft\Office\Niedawny\Stacja dysków DVD RW (G) L-85.LNK C:\Users\Maciej\AppData\Roaming\Microsoft\Office\Niedawny\UM L-85_FR (20141013).LNK DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Maciej\AppData\Local\Mozilla C:\Users\Maciej\AppData\Roaming\Mozilla C:\Users\Maciej\AppData\Roaming\Profiles DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Upewnij się, że AdwCleaner już niczego nie wykrywa. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji. Jako, że jest to system XP (właśnie na tym systemie często to widzę) to wydaję mi się, że poniższe ograniczenia są ustawieniem celowym, mającym na celu zabezpieczenie. Jeśli tak jest to poniższe wpisy usuń ze skryptu (skrypt to to co jest pod napisem "Otwórz Notatnik...". HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoNetHood] 0 HKU\S-1-5-20\...\Policies\Explorer: [NoNetHood] 0 HKU\S-1-5-21-507921405-1004336348-725345543-1003\...\Policies\Explorer: [NoSharedDocuments] 1 HKU\S-1-5-21-507921405-1004336348-725345543-1003\...\Policies\Explorer: [NoNetHood] 0 KU\S-1-5-18\...\Policies\Explorer: [NoNetHood] 0 GroupPolicy: Ograniczenia ? <======= UWAGA GroupPolicyScripts: Ograniczenia <======= UWAGA Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [NPSStartup] => [X] HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoNetHood] 0 HKU\S-1-5-20\...\Policies\Explorer: [NoNetHood] 0 HKU\S-1-5-21-507921405-1004336348-725345543-1003\...\Policies\Explorer: [NoSharedDocuments] 1 HKU\S-1-5-21-507921405-1004336348-725345543-1003\...\Policies\Explorer: [NoNetHood] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoNetHood] 0 ShortcutTarget: Ralink Wireless Utility.lnk -> C:\Program Files\RALINK\Common\RaUI.exe (Brak pliku) GroupPolicy: Ograniczenia ? <======= UWAGA GroupPolicyScripts: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: [s-1-5-21-507921405-1004336348-725345543-1005] UWAGA => Brak domyślnego URLSearchHook HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.google.com" Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - Brak pliku S4 hpt3xx; Brak ImagePath S0x02000000 OMSCAN; \Sys [X] S4 sptd; System32\Drivers\sptd.sys [X] S2 StarOpen; Brak ImagePath C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Bioshock\Bioshock.lnk CustomCLSID: HKU\S-1-5-21-507921405-1004336348-725345543-1003_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\GRZE~1\Pulpit\BESTPL~1.EXE => Brak pliku Task: C:\WINDOWS\Tasks\tarn.job => DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt),

System właściwie został wyleczony, więc to wskazuję na problem nie nfekcyjny. Zrobimy to via FRST, tego klucza tam już pewnie nie ma, ale na wszelki wypadek. Otwórz Notatnik w nim wklej; Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C509552A-7987-97D8-68C3-F9BF83341FE7}" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt). Z mojej strony to tyle.

Brakuje raportu Shortcut.txt i teoretycznie nie mogę zacząć bez niego pracy, bo mi picasso łeb urwie. Zrobię wyjątek i zacznę bez tego raportu, ze względu na to, że aktualnie nie jest on aż tak bardzo ważny. W następnym poście chcę widzieć ten raport obowiązkowo. System jest poważnie zainfekowany przez nowoczesne adware modyfikujące usługę (...patrz wyżej) oraz adware podstawiające prefabrykowany profil w przeglądarce Google Chrome. Ponad to multum innych infekcji adware / PUP. 1. Przez panel sterowania odinstaluj: amuleC SmartView for IE SmartView Software Updater trotux - Uninstall YAC(Yet Another Cleaner!) 2. Otwórz Notatnik w nim wklej. CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3503126366-1218760726-270884174-1000\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-3503126366-1218760726-270884174-1000\...\Run: [zASRockInstantBoot] => [X] ShellExecuteHooks: Brak nazwy - {87CC2AE2-A5BD-11E6-B178-64006A5CFC23} - -> Brak pliku GroupPolicy\User: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1480430634&z=8cca0d533f2005f4a7ce3aegdz6bae4z6cae8qfccq&from=archer1028&uid=SAMSUNGXHD753LJ_S13UJ1KS302735 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1480430634&z=8cca0d533f2005f4a7ce3aegdz6bae4z6cae8qfccq&from=archer1028&uid=SAMSUNGXHD753LJ_S13UJ1KS302735 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1480430634&z=8cca0d533f2005f4a7ce3aegdz6bae4z6cae8qfccq&from=archer1028&uid=SAMSUNGXHD753LJ_S13UJ1KS302735&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1480430634&z=8cca0d533f2005f4a7ce3aegdz6bae4z6cae8qfccq&from=archer1028&uid=SAMSUNGXHD753LJ_S13UJ1KS302735 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1480430634&z=8cca0d533f2005f4a7ce3aegdz6bae4z6cae8qfccq&from=archer1028&uid=SAMSUNGXHD753LJ_S13UJ1KS302735 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1480430634&z=8cca0d533f2005f4a7ce3aegdz6bae4z6cae8qfccq&from=archer1028&uid=SAMSUNGXHD753LJ_S13UJ1KS302735&q={searchTerms} HKU\S-1-5-21-3503126366-1218760726-270884174-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1481883761&z=e3e77e1bddc8e7021986a59gazfbag4b4b1cameqdc&from=che0812&uid=SAMSUNGXHD753LJ_S13UJ1KS302735&q={searchTerms} HKU\S-1-5-21-3503126366-1218760726-270884174-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1480430634&z=8cca0d533f2005f4a7ce3aegdz6bae4z6cae8qfccq&from=archer1028&uid=SAMSUNGXHD753LJ_S13UJ1KS302735 HKU\S-1-5-21-3503126366-1218760726-270884174-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1480430634&z=8cca0d533f2005f4a7ce3aegdz6bae4z6cae8qfccq&from=archer1028&uid=SAMSUNGXHD753LJ_S13UJ1KS302735 HKU\S-1-5-21-3503126366-1218760726-270884174-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1481883761&z=e3e77e1bddc8e7021986a59gazfbag4b4b1cameqdc&from=che0812&uid=SAMSUNGXHD753LJ_S13UJ1KS302735&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3503126366-1218760726-270884174-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481883761&z=e3e77e1bddc8e7021986a59gazfbag4b4b1cameqdc&from=che0812&uid=SAMSUNGXHD753LJ_S13UJ1KS302735&q={searchTerms} SearchScopes: HKU\S-1-5-21-3503126366-1218760726-270884174-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481883761&z=e3e77e1bddc8e7021986a59gazfbag4b4b1cameqdc&from=che0812&uid=SAMSUNGXHD753LJ_S13UJ1KS302735&q={searchTerms} SearchScopes: HKU\S-1-5-21-3503126366-1218760726-270884174-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BF76500DE-0C4C-4D22-BBFE-D461BFD4CAC6%7D&gp=811014 S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [100352 2017-01-18] () [brak podpisu cyfrowego] R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [125952 2017-01-16] () [brak podpisu cyfrowego] RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Program Files (x86)\Gubed S3 AvgAMPS; "C:\Program Files (x86)\AVG\Av\avgamps.exe" [X] S2 AVGIDSAgent; "C:\Program Files (x86)\AVG\Av\avgidsagenta.exe" [X] S2 avgsvc; "C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe" [X] S2 avgwd; "C:\Program Files (x86)\AVG\Av\avgwdsvca.exe" [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] U3 awrdipob; \??\C:\Users\Bigi\AppData\Local\Temp\awrdipob.sys [X] Task: {1F37AC92-C2AA-408F-A1EE-C7C586EEC787} - System32\Tasks\WinTOOL => C:\ProgramData\wintools\WintoolUprI.exe [2017-01-18] () Remove Directory: C:\ProgramData\wintools Task: {C2F72194-9619-40C0-AA1E-18A99D03C445} - System32\Tasks\1c2bfedd248d3116021ff65c7bf72052 => Rundll32.exe "C:\Program Files (x86)\Windows Media Player\ag74t6.dll",e62dc6c6547f46bda862da2d05af6862 Task: {CEE40F7B-1D63-4308-9859-41542D45CB14} - System32\Tasks\PPI Update => "hxxp://insightcdn.online/download/index.php?mn=9995" hortcutWithArgument: C:\Users\Bigi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1482485431&z=3adfadddd23bc8f94df565agezcb8o3z4bfw5zfcfc&from=che0812&uid=SAMSUNGXHD753LJ_S13UJ1KS302735 ShortcutWithArgument: C:\Users\Bigi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1482485431&z=3adfadddd23bc8f94df565agezcb8o3z4bfw5zfcfc&from=che0812&uid=SAMSUNGXHD753LJ_S13UJ1KS302735 ShortcutWithArgument: C:\Users\Bigi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1482485431&z=3adfadddd23bc8f94df565agezcb8o3z4bfw5zfcfc&from=che0812&uid=SAMSUNGXHD753LJ_S13UJ1KS302735 ShortcutWithArgument: C:\Users\Bigi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c "start hxxp://socialgames.splashtop.com/redirectGames/?oem=ASRKBCU01^&os=Windows^&p=H61M-VS^&pv=1.0.4^&v=1^&flv=^&c=1045^&t=5570baa3d45385a2df9ef74bc586c132^&l=pl-PL" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Bigi\AppData\Local\Mozilla C:\Users\Bigi\AppData\Roaming\Mozilla C:\Users\Bigi\AppData\Roaming\Profiles Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > utwórz nową Osobę, zaloguj się na nią > wejdź ponownie do opcji i skasuj wszystkie poprzednie Osoby. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Sprawdź czy działa już kompozycja Aero (powinna).

1. Wszystkie wykryte przez AdwCleaner'a zagrożenia daj do kasacji (używając opcji Oczyść). 2. Zrób nowy zestaw raportów FRST, ale przed tym skasuj wszystkie poprzednie profile w Google Chrome, bo zostawiłeś jeden - właśnie ten zarażony.

Doszedłem do wniosku, że to są szczątkowe klucze po tych programach. Trzy z nich usunął MBAM, czwarty usunę ja. 1. Uruchom wiersz poleceń (Start > Cmd.exe) jako administrator i wklej w nim: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C509552A-7987-97D8-68C3-F9BF83341FE7}" /f Następnie kliknij klawisz ENTER. 2. Podsumuj obecny stan komputera, czy tytułowy problem ustąpił itd.

W raportach brak oznak infekcji. Jedyne do czego można by się przyczepić to do zawartości pliku Hosts, ale to nie wygląda na modyfikacje infekcyjną, więc zostawiam.

W raportach brak oznak infekcji, w spoilerze działania poboczne, czysto kosmetyczne.

W raportach brak oznak infekcji. Potencjalnym sprawcą obciążenia może być oprogramowanie zabezpieczające, czyli Kaspersky Internet Security - wyłącz go i poobserwuj. Temat przenoszę do działu Windows 8.

W raportach brak oznak infekcji. Temat przenoszę do działu Windows 10, gdzie będziesz musiał sprecyzować bardziej problem z jakim boryka się Twój system - bo inaczej nie wiemy co trzeba zbadać. Na prośbę zadaje skrypt kasujący resztki po programach (patrz do spoileru).

Problem już znany, powodowany infekcją wariantem Adware.Elex, który modyfikuje usługę Themes dodając niestandardowe ustawienie DependOfService (i w systemie przypuszczalnie jest więcej infekcji typu adware). Zrób zestaw raportów systemowych FRST oraz GMER.

Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy (zauważyłem nieaktualny/e program/y) - KLIK / KLIK.

System jest mocno zainfekowany przez nowoczesne adware / PUP. Zapoznaj się jak na przyszłość tego unikać - KLIK. 1. Przez panel sterowania odinstaluj: Traffic ExchangeNastępnie wejdź do wymienionych folderów: C:\Program Files (x86)\OneSystemCare, C:\Program Files (x86)\UCBrowser, C:\Program Files\żěŃą i z ich poziomu spróbuj uruchomić deinstalator (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {5604AB46-C0DE-41C2-A414-B66FF1EA90D2} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe Task: {5731C7E4-7072-4B38-937D-744D3093D2C5} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe Task: {5B93CF7C-CE84-4FCC-928D-4983335E96CB} - System32\Tasks\One System Care Task => C:\PROGRA~2\ONESYS~1\SYSTEM~1.EXE Task: {654AB5EB-468E-42F5-A2B7-6C5808A66E5C} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-25] (UC Web Inc.) Task: {69C1D4A0-1278-4FC9-99E4-21F2C6F67140} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-18] (UCWeb Inc) Task: {B59E1B67-4CE1-4E63-91B0-C41453F02BD9} - \{040B0A47-0504-0E09-0E11-0F050C09110C} -> Brak pliku Task: {EDB5F224-6AD9-4CE8-90C5-9D13CD859491} - System32\Tasks\One System Care Run Delay => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe Task: {F337806B-83B9-4D83-9FC2-CE3C0F370F21} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2017-01-25] (Shanghai Guangle Network Technology Ltd) Task: C:\Windows\Tasks\One System CarePeriod.job => Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\And-solar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\AND-SO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\And-solar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\AND-SO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\AND-SO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\AND-SO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\Providers\h49mkssl: C:\Program Files (x86)\Ckerbulemahitain Provider\local64spl.dll [289792 2017-01-25] () C:\Program Files (x86)\Ckerbulemahitain Provider AppInit_DLLs: C:\ProgramData\Hotfresh\Silsaofind.dll => C:\ProgramData\Hotfresh\Silsaofind.dll [358912 2017-01-25] () AppInit_DLLs-x32: C:\ProgramData\Hotfresh\Zertraxflex.dll => C:\ProgramData\Hotfresh\Zertraxflex.dll [248320 2017-01-25] () C:\ProgramData\Hotfresh ShellExecuteHooks: Brak nazwy - {D1CD7500-DE3D-11E6-8016-64006A5CFC23} - C:\Users\And-solar\AppData\Roaming\Jevush\Pafght.dll -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-25] () C:\Program Files\żěŃą HKU\S-1-5-21-2197181866-4104514059-3983876984-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ01aseP6BKgcPHAlawRJj7myJ0pCVpASHr1KDIC_9wV4vYcvNop4LvCN49ico56bKqIxw0emTTEBRgbLH6i5Z6UnLvJytGZOJP8UN7PoyLH61K-Chrtb2OUu4gu0H4dhLQCoRrs5eND9yn6NsggDvbI6-OaA,,&q={searchTerms} HKU\S-1-5-21-2197181866-4104514059-3983876984-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-2197181866-4104514059-3983876984-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={1098AC46-4C1F-4B32-8C47-9DE4752AA8AC}&i= SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ01aseP6BKgcPHAlawRJj7myJ0pCVpASHr1KDIC_9wV4vYcvNop4LvCN49ico56bKqIxw0emTTEBRgbLH6i5Z6UnLvJytGZOJP8UN7PoyLH61K-Chrtb2OUu4gu0H4dhLQCoRrs5eND9yn6NsggDvbI6-OaA,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2197181866-4104514059-3983876984-1001 -> {29726C30-E2D0-4957-AE6E-20F479C75CFA} URL = hxxp://services.eshield.com/tb/search.php?guid={1098AC46-4C1F-4B32-8C47-9DE4752AA8AC}&k={searchTerms}&action=default_search SearchScopes: HKU\S-1-5-21-2197181866-4104514059-3983876984-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ01aseP6BKgcPHAlawRJj7myJ0pCVpASHr1KDIC_9wV4vYcvNop4LvCN49ico56bKqIxw0emTTEBRgbLH6i5Z6UnLvJytGZOJP8UN7PoyLH61K-Chrtb2OUu4gu0H4dhLQCoRrs5eND9yn6NsggDvbI6-OaA,,&q={searchTerms} R2 Bisawardtusocult; C:\Program Files (x86)\Rajuvokos\Jwocultmonitor.dll [150016 2017-01-25] () [brak podpisu cyfrowego] R2 NewBlueCkerbulemahitainProvider; C:\Program Files (x86)\Ckerbulemahitain Provider\NewBlueCkerbulemahitainProvider.dll [225280 2017-01-25] () [brak podpisu cyfrowego] S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 Hotfresh; C:\ProgramData\\Hotfresh\\Hotfresh.exe shuz -f "C:\ProgramData\\Hotfresh\\Hotfresh.dat" -l -a C:\ProgramData\\CloudPrinter\ S1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) S3 dbx; system32\DRIVERS\dbx.sys [X] 2017-01-25 14:22 - 2017-01-25 14:22 - 07316480 _____ C:\Users\And-solar\AppData\Roaming\agent.dat 2017-01-25 14:22 - 2017-01-25 14:22 - 01908124 _____ C:\Users\And-solar\AppData\Roaming\Stronglux.tst 2017-01-25 14:22 - 2017-01-25 14:22 - 00126464 _____ C:\Users\And-solar\AppData\Roaming\noah.dat 2017-01-25 14:22 - 2017-01-25 14:22 - 00126464 _____ C:\Users\And-solar\AppData\Roaming\lobby.dat 2017-01-25 14:22 - 2017-01-25 14:22 - 00072787 _____ C:\Users\And-solar\AppData\Roaming\Stim-Zap.tst 2017-01-25 14:22 - 2017-01-25 14:22 - 00070752 _____ C:\Users\And-solar\AppData\Roaming\Config.xml 2017-01-25 14:22 - 2017-01-25 14:22 - 00054272 _____ C:\Users\And-solar\AppData\Roaming\ApplicationHosting.dat 2017-01-25 14:22 - 2017-01-25 14:22 - 00018432 _____ C:\Users\And-solar\AppData\Roaming\Main.dat 2017-01-25 14:22 - 2017-01-25 14:22 - 00005568 _____ C:\Users\And-solar\AppData\Roaming\md.xml 2017-01-25 14:22 - 2017-01-25 14:22 - 00002398 _____ C:\Windows\SysWOW64\findit.xml 2017-01-25 14:22 - 2017-01-25 15:17 - 0391504 _____ () C:\Users\And-solar\AppData\Roaming\Tantoin.bin 2017-01-25 14:21 - 2017-01-25 14:21 - 0016560 _____ () C:\Users\And-solar\AppData\Roaming\InstallationConfiguration.xml DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\And-solar\AppData\Local\Mozilla\Firefox C:\Users\And-solar\AppData\Roaming\Mozilla\Firefox C:\Users\And-solar\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > utwórz nową Osobę, zaloguj się na nią > wejdź ponownie do opcji i skasuj wszystkie poprzednie Osoby. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, więc spowolnienie to sprawa infekcji. Temat przenoszę do działu Windows 8. W spoilerze kosmetyka, działania poboczne.

Wszystkie wykryte zagrożenia przez AdwCleaner daj do kasacji (używając opcji Oczyść). Podsumuj obecny stan systemu.

Podziwiam, za chęć robienia tego ręcznie ( ). W wersji próbnej jest to program tylko do skanowania, ale jak podasz jakiś adres email to masz za darmo 15 dniowy okres próbny - jak go aktywujesz usuń znalezione zagrożenia za pomocą tego właśnie narzędzia. Komentując zaś raport AdwCleaner to wszystkie detekcje daj do usunięcia (używając opcji Oczyść). Po wykonaniu powyższych zadań dostarcz nowe raporty.

System zanieczyszczone programami adware / PUP. Na szczęście to niewyrafinowane gadziny (bo np. to co teraz wyrabia wariant Adware.Elex przechodzi ludzkie pojęcie), więc szybko je stąd wywalimy. 1. Przez panel sterowania odinstaluj: ByteFence Anti-Malware PremierOpinion Run_Dregol Wejdź do folderu c:\Program Files (x86)\Super Optimizer, a następnie z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts-x32: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1438283286&z=0b1bfe4a24b08a9d7a9448fg4z4c2b1obb0cdoac0g&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1438283286&z=0b1bfe4a24b08a9d7a9448fg4z4c2b1obb0cdoac0g&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1438283363&z=df9f3771dbf51faf301f6c0gbz3cbb3o9b3c0c2eam&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1438283363&z=df9f3771dbf51faf301f6c0gbz3cbb3o9b3c0c2eam&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438283286&z=0b1bfe4a24b08a9d7a9448fg4z4c2b1obb0cdoac0g&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438283286&z=0b1bfe4a24b08a9d7a9448fg4z4c2b1obb0cdoac0g&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKU\S-1-5-21-3211495807-2250388596-1896275332-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1438283363&z=df9f3771dbf51faf301f6c0gbz3cbb3o9b3c0c2eam&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKU\S-1-5-21-3211495807-2250388596-1896275332-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1438283363&z=df9f3771dbf51faf301f6c0gbz3cbb3o9b3c0c2eam&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.dregol.com/results.php?f=4&q={searchTerms}&a=drg_ir_15_25&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyEtC0FtCyCyByDtA0EzyyEtN0D0Tzu0StCtByCtCtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StC0F0FtA0A0CyCyDtGtByB0CtBtG0CtCzz0CtGyC0E0D0FtGzzyEyEtAtB0C0BtD0AyDyDyE2QtN1M1F1B2Z1V1N2Y1L1Qzu2StA0AtB0AyByByByCtGzytCtA0CtGyEtA0E0BtG0A0DtA0BtGzzzz0EtA0AyEzztBzz0CtAtA2QtN0A0LzutBtN1B2Z1V1T1S1NzuzztByD&cr=1346100435&ir= SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {6586d803-df30-46d3-a89a-4136c8571d45} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Brak pliku CHR Extension: (RescueTime for Chrome ChromeOS) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\bdakmnplckeopfghnlpocafcepegjeap [2015-07-13] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (Smart Pause for YouTube) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\dcflkimagfnicklojfonbbcppnikogih [2015-07-29] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (InstaBrowser) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\ighkeghglkbljjmoineeppdkailinjii [2015-08-01] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (Adblock for Pirate Bay) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\imkpamgpfalmdaikobnkefcmmkpgljjd [2015-07-22] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (RDS bar seo pagerank dmoz alexa pr) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\jlipcaflaocihnmlhnhcfombgmmfglho [2015-07-23] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (dregol New Tab) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\ihokndmjeombjojnfkmapfnjeghjohim [2016-10-30] CHR Extension: (Palikan New Tab) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\ljibkigjccbegnbeojkoafejpoiachej [2016-10-30] S2 cae99edb; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Super Optimizer\SupOptStats.dll",ENT c:\Program Files (x86)\Super Optimizer C:\Windows\SysWOW64\mfc100jpn.dll U0 aswVmm; Brak ImagePath Task: {3943B91F-B318-410F-9279-FFAE73C5CD45} - System32\Tasks\{972A8D6B-B63A-45F4-97B3-13B86E4688D8} => pcalua.exe -a C:\Users\Adam\AppData\Local\Temp\jre-8u51-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {CEC5C7B8-E1CF-4878-9A7B-6D85AFFE01AA} - System32\Tasks\Super Optimizer Schedule => C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe ShortcutWithArgument: C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Lucidchart Schematy - Desktop.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4" --app-id=djejicklhojeokkfmdelnempiecmdomj ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4" C:\Users\Adam\Desktop\zdiecia ola\Farming Simulator 15 Gold Edition.lnk C:\Users\Adam\Desktop\róznosci\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super Optimizer\Sprawdz aktualizacje.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super Optimizer\Super Optimizer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Traktor DJ Studio 3\Traktor DJ Studio 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka\Zimowa Olimpiada.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka\Odinstaluj gry\Odinstaluj - Zimowa Olimpiada.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka\Informacje dla rodziców\Zimowa Olimpiada - informacje dla rodziców.lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Super Optimizer" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Adam\AppData\Local\Mozilla C:\Users\Adam\AppData\Roaming\Mozilla C:\Users\Adam\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie aktywna świeża infekcja uruchamiana poprzez Shell, widać również elementy adware / PUP. Jeśli chodzi o problem z uruchomieniem AdwCleanera (błąd sqlite) to należy go przeinstalować używając dedykowanej do tego opcji Odinstaluj w programie, następnie moża pobrać narzędzie z dedykowanej strony i działać (ale to na przyszłość, teraz trzymasz się tylko moich zaleceń). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Winlogon: [shell] [0 ] () HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1274947860-2014668213-2371505907-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search?q={searchTerms} Toolbar: HKLM - Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku Toolbar: HKU\S-1-5-21-1274947860-2014668213-2371505907-1000 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku DefaultPrefix-x32: => Prefixes-x32: [home]=> Prefixes-x32: [www]=> S2 AODDriver4.3; \??\C:\Program Files\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath C:\Users\Admin\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Admin\Desktop\Jakub\Programy\Action!.lnk C:\Users\Admin\Desktop\Jakub\Programy\Windows Movie Maker 2.6.lnk C:\Users\Admin\Desktop\Jakub\GTA SA\MTA San Andreas 1.4.lnk C:\Users\Admin\Desktop\Jakub\GTA SA\GTA SAN ANDREAS\MTA San Andreas 1.3.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Admin\AppData\Local\Mozilla C:\Users\Admin\AppData\Roaming\Mozilla C:\Users\Admin\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.