Miszel03

1. Wszystkie wykryte zagrożenia przez MBAM daj do kasacji. 2. Programy, które stawiają opór przy deinstalacji spróbj odinstalować przy pomocy Microsoft Program Install and Uninstall Troubleshooter. 3. Zrób nowy zestaw raportów FRST.

Uważaj na te "magiczne" programy naprawiające wszystko, to najczęściej programu o bardzo wątpliwej reputacji, a nawet fałszywe programy. Zapoznaj się również z lekturą jak uniknąć nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać. W systemie spory bałagan, ale wszystko łatwo da się uporządkować. Jeśli chodzi o problem tytułowy to to co Ty piszesz pokrywa się praktycznie w całości z tym co ja widzę w raportach - więc nie będzie problemów z usunięciem tego. Akcja. 1. Włącz przywracanie systemu (aktualnie jest wyłączone). 2. Przez panel sterowania odinstaluj: My Web Shield 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {2082DEC8-B85C-47D2-BE40-FC0D32CBD49A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {23E1684E-22F5-4D27-A00A-28FE9E0BB857} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {49B263C3-9405-44CE-AA40-E743411A34C8} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe Task: {687ED4DC-4301-4FB7-93D9-C2452CC3E77F} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {6A7CFCED-FEC5-4EEF-A3B0-33E736587630} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6F9EE597-D177-4659-85A5-57E7D9110E14} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {80599B41-A09E-4E6B-8EB0-FEF0EFD9BA55} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {84743446-09C5-4A12-8AEA-FAF7476585BA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {B7181595-D120-4C4D-A856-3F001000DA47} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {CB3D8087-7D43-4C63-91C9-BBE32CC05EC4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {CF23F961-33AB-43FB-9C41-F34C63574E42} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DA2BB657-E7F1-4692-AE1F-993D2C3B554F} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {DB46AF3B-CD20-4CE1-B420-50D283D1D72F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {E5497EEF-5859-4C2A-BC2F-CD0F6E8778C6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F326D667-20DB-499D-9B1C-015764E9FD98} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Flymar\Desktop\chrome.exe — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Flymar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk AlternateDataStreams: C:\ProgramData\TEMP:966F7784 [2400] Winlogon\Notify\WB: D:\PROGRA~3\Stardock\OBJECT~1\WINDOW~1\fast64.dll [X] HKLM\...\Policies\Explorer: [ForceActiveDesktopOn] 0 HKLM\...\Policies\Explorer: [NoActiveDesktop] 1 HKLM\...\Policies\Explorer: [NoActiveDesktopChanges] 1 HKLM\...\Policies\Explorer: [NoRecentDocsHistory] 0 HKU\S-1-5-21-548108095-2263111280-3268851415-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 145 SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Brak pliku SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Brak pliku ShellExecuteHooks: Brak nazwy - {62B8A4F4-DE3C-11E6-A1B0-64006A5CFC23} - C:\Users\Flymar\AppData\Roaming\Dulary\Gheperent.dll -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm StartMenuInternet: Google Chrome - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" U3 idsvc; Brak ImagePath 2017-01-23 23:41 - 2017-01-23 23:41 - 0140288 _____ () C:\Users\Flymar\AppData\Roaming\Installer.dat C:\ProgramData\hash.dat DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Flymar\AppData\Local\Mozilla C:\Users\Flymar\AppData\Roaming\Mozilla C:\Users\Flymar\AppData\Roaming\Profile Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. Wszystkie detekcje z HitmanPro daj do usuwania. 2. Dostarcz zaległy raport ze skanowanie AdwCleaner i zrób nowe raporty FRST, powiedz mi jeszcze czy udało Ci się przywodzić pkt. 1?

W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Dałeś raport AdwCleaner'a świadczący o tym, że wykryte przez niego zagrożenia nie zostały usunięcie. Abym miał jasność sytuacji wykryte zagrożenia możesz skasować, a następnie dostarcz z tego raport. Nie zapomnij również o wykonaniu nowego zestawu raportów FRST.

1. Wszystkie wykryte przez MBAM zagrożenia daj do kasacji. 2. Podsumuj obecny stan systemu, czy Avast nadaj krzyczy komunikatami itd.

Ja również nie mam ochoty widzieć Cię kolejny raz w tym dziale

Zobacz na instrukcję pod skryptem.

Tak, już poprawiłem. Tak to jest, kiedy obsługujesz tyle tematów na raz - można się łatwo pomylić.

W systemie widoczne aktywne infekcje, zdolne to prowokowania Avasta, aby dawał właśnie takie komunikaty. 1. Przez panel sterowania odinstaluj zbędnik Akamai NetSession Interface. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2811792325-3593454412-1631040856-1000\...\Run: [*qguc] => "C:\Users\Pyko\AppData\Local\ebbf8ed\05dc13c.bat" C:\Users\Pyko\AppData\Local\ebbf8ed HKU\S-1-5-21-2811792325-3593454412-1631040856-1000\...\Policies\Explorer: [] HKU\S-1-5-21-2811792325-3593454412-1631040856-1000\...\Policies\Explorer: [HideSCAVolume] 0 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2017-01-20] () GroupPolicy: Ograniczenia - Chrome SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe" [X] S3 cpuz130; Brak ImagePath S3 cpuz138; \??\C:\Users\Pyko\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] 2015-07-28 13:01 - 2015-07-28 13:01 - 0613255 _____ (CMI Limited) C:\Users\Pyko\AppData\Local\nsj1837.tmp 2015-07-28 12:42 - 2015-07-28 12:42 - 0613255 _____ (CMI Limited) C:\Users\Pyko\AppData\Local\nsm9B15.tmp Task: C:\Windows\Tasks\HBbRNMacN17uyL5.job => C:\Users\Pyko\AppData\Roaming\HBbRNMacN17uyL5.exe C:\Users\Pyko\AppData\Roaming\HBbRNMacN17uyL5.exe AlternateDataStreams: C:\ProgramData\TEMP:890CC2F3 [127] AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [148] HKU\S-1-5-21-2811792325-3593454412-1631040856-1000\Software\Classes\590818e: "C:\Windows\system32\mshta.exe" "javascript:kZo9vd3="H8Bjlqyl";Av4=new ActiveXObject("WScript.Shell");X9mtDuT="ZJMp";CfUA68=Av4.RegRead("HKCU\\software\\bszlfymfbs\\wtsnpduowt");UdftsN5="AUv";eval(CfUA68);qec99S="n1vQ9W";" DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W AdwCleaner po skanie, w pasku Opcje zaznacz Reset zasad IE, a następnie kliknij w Oczyść. 4. Przeprowadź pełen skanowanie systemu za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Dobra wiadomość, poniższe kroki wykonaj już w trybie normalnym. 1. Wszystkie wykryte zagrożenia przez MBAM daj do kasacji. 2. Uruchom przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask. 3. Podsumuj obecny stan systemu, czy coś się nie pogorszyło itd.

Brakuje raportu Addition - uzupełnij.

Wybierz poprawną opcję skanowanie, ale coś nie pyka. Przeinstalować oraz zaktualizować MBAM, a następnie wykonaj skan jeszcze raz. Jeśli to nie przyniesie żadnych rezultatów to przeskanujesz system programem HitmanPro.

Prosiłem tylko o skanowanie, a nie dezynfekcje w programie AdwCleaner, ale niech już będzie. Czy pkt. 1 w moim pierwszym poście na pewno został wykonany? I jeszcze jedno pytanie: w systemie nie ma zainstalowanej przeglądarki Google Chrome prawda? Jedziemy dalej: 1. Wejdź do lokalizacji C:\Program Files (x86)\ver1BetterDeals i z jej poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\ver1BetterDeals HKU\S-1-5-21-2435806706-593388220-432388364-1000\...\Run: [iSM] => [X] BHO: BetterDeals -> {05156942-7E94-3334-C8BD-DEC8D6785E65} -> C:\Program Files (x86)\ver1BetterDeals\189_x64.dll [2015-03-08] () C:\Program Files (x86)\ver1BetterDeals CHR HomePage: Default -> www.aqovd.com?oem=mbtkplv3&uid=WD-WCC2EL095230_00AAKX-00ERM&tm=1449916924 CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1425823628&from=epom2&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EL09523095230" CHR Extension: (IP[Filtr wulgaryzmów]) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bjgmbpodpcgmnpfjmigcckcjfldcicnd [2015-03-24] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (Auto Refresh) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifooldnmmcmlbdennkpdnlnbgbmfalko [2015-03-24] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (Google Wallet) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-01-29] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.t

Nie wróci, bo przecież została zresetowana w pkt. 2 mojego pierwszego posta. Skoro problem rozwiązany to kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Przeczytaj również jak uniknąć nieciekawych przygód z adware / PUP - KLIK.

Myślę, że spokojnie możesz zainstalować system Windows 7, wymagania Microsoft na to pozwalają - KLIK. Nowszych bym raczej nie instalował, ewentualnie można eksperymentować z Windowsem 8, bo niestety Windows 10 wymaga już 2 GB pamięci RAM.

Teraz raporty wyglądają w porządku, AdwCleaner również już niczego nie wykrywa. Jak oceniasz obecną sytuację?

Spróbuj kompleksowo przeinstalować przeglądarkę Google Chrome, jeśli to nie pomoże to stawiałbym właśnie na to co jest w Twoim ostatnim zdaniu. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

Browarnicy Zaraz ktoś z uprawnieniami moderatorskimi w tym dziale skasuje Twój post, a sam temat zostanie przenosiny do działu pomocy doraźnej. System jest zainfekowany przez adware i inne infekcje. Priorytet to teraz dezynfekcja systemu. Przed podjęciem zadań, proszę zajrzyj jeszcze w spoiler. Zaczynamy. 1. Przez panel sterowania odinstaluj: BrickEnforcer Builder Mart GarreControl SystemHelp 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-2435806706-593388220-432388364-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku S2 27019e42; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\IndepthInit\IndepthInit.dll",serv S2 a9cff455; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\ReactorExtender\ReactorExtender.dll",serv S2 c0e7631c; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\IndepthRunner\IndepthRunner.dll",serv c:\Program Files (x86)\IndepthIni c:\Program Files (x86)\ReactorExtender c:\Program Files (x86)\IndepthRunner S1 avgtp; \??\C:\Windows\system32\drivers\avgtpx64.sys [X] S3 dump_wmimmc; \??\D:\Gry\GameforgeLive\Games\POL_pol\Metin2\GameGuard\dump_wmimmc.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Users\user\AppData\Local\BrowserProtector Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrowserProtector-repairJob" /f DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} ShortcutWithArgument: C:\Users\Łapa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1425823628&from=epom2&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EL09523095230 Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Ustaw tą przeglądarkę jako domyślną (no chyba, że wolisz IE lub OPR) - KLIK. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Zadanie pomyślnie wykonane, a skoro problem naprawiony to kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK.

Ten pendrive jest dalej zainfekowany i jest to moja wina, bo początkowo nie zauważyłem tej infekcji: Startup: C:\Users\Patrioshkaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fxltdfug.exe [2017-01-14] () 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: Startup: C:\Users\Patrioshkaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fxltdfug.exe [2017-01-14] () C:\Users\Patrioshkaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fxltdfug.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Bioshock\Bioshock.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Podłącz zarażonego pendrive i potraktuj go narzędziem USBFix z opcji Clean (jak poprzednio). Dostarcz wynikowy log. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Zastanów się również gdzie mogłeś jeszcze podpiąć tego pendriva.

Wszystkie wykrycia Malwarebytes daj do kasacji. Zrób nowy zestaw logów FRST i podsumuj obecny stan systemu.

Tak myślałem, że uszkodzenie leży właśnie w SoftwareDistrubution. Plik Fixlog.txt został wykonany jako zniekształcony, brak znaków ":" oaz "/" - a to kompletnie dyskwalifikuje Fix. Gdzieś musiało dojść do tego zniekształcenie, tylko pytanie gdzie? Poniższej masz poprawny plik Fixlist.txt - wykonaj go jeszcze raz i dostarcz Fixlog. Fixlist.txt

W raportach brak oznak infekcji, diagnostyka nie wykazała również żadnych uszkodzeń usługi Windows Update. Jedną z metod zastosuje po znachorsku (bez diagnostyki, bo ta w tym przypadku jest bardzo czasochłonna - KLIK), no ale jeśli ona nic nie postukuje to niestety, ale będziemy musieli ją wykonać. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://kipuu.cn/ ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://kipuu.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Andrzej\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://kipuu.cn/ S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas\Instrukcja do gry.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas\README.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas\Zagraj w GTA San Andreas.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przejdź w Tryb awaryjny Windows i ręcznie zmień nazwę folderu C:\Windows\SoftwareDistribution np. dopisując suffix "old" (SoftwareDistribuition.old). 3. Przejdź w Tryb normalny Windows, uruchom Windows Update i szukanie aktualizacji, eśli je znajdzie to od razu możesz je zainstalować. Podaj wyniki. 4. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).

To co wykrył AdwCleaner to tylko resztki po drobne resztki po adware, zresztą ja w raportach również nie widzę infekcji. Tutaj problem leży po innej stronie, a dokładniej po stronie dzisiejszej doby internetu. W przeglądarkach nie jest zainstalowany żaden bloker reklam, a aktualnie to już raczej standard. Polecam zainstalować w przeglądarkach rozszerzenie uBlock Origin. 1. Włącz przywracanie systemu. 2. Detekcje AdwCleaner daj do usuwania. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {B0F7EFE9-105C-4415-9EA1-3D21FC3F2ADD} - \Lenovo\Lenovo Service Bridge\S-1-5-21-1342662903-3082905867-4103419865-1001 -> Brak pliku S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.4.127.0 [X] C:\Users\ja\Downloads\IrfanView-Spolszczenie-12933-dp — skrót .lnk C:\Users\ja\Documents\ELA\KUCHNIA\Nowy Dokument programu Microsoft Office Word.lnk C:\Users\ja\Desktop\KINGSTON (E) — skrót.lnk C:\Users\ja\Desktop\STARY KOMP\ELA\KUCHNIA\Nowy Dokument programu Microsoft Office Word.lnk C:\Users\ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Stacja dysków DVD RW (D).lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).