Miszel03

Brakuje logu FRST.

1. W AdwCleaner usuwasz wszystko oprócz tego: C:\Program Files (x86)\Common Files\SERVICES\ITHEMES.DLL 2. Skasuj ręcznie przez SHIFT + DELETE: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winsvc.vbs 3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

W systemie aktywna infekcja uruchamiana automatycznie, dezynfekcja. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\RunOnce: [DeleteOnReboot] => C:\Users\Jacek\AppData\Local\Temp\DeleteOnReboot.bat [4061 2017-01-22] () C:\Users\Jacek\AppData\Local\Temp\DeleteOnReboot.bat HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Toolbar: HKU\S-1-5-21-2320623359-3011444700-1779620929-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku S1 agyfbwdp; \??\C:\Windows\system32\drivers\agyfbwdp.sys [X] S1 eeCtrl; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [X] S3 EraserUtilRebootDrv; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.5.0.124\Definitions\SDSDefs\20160629.033\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.5.0.124\Definitions\SDSDefs\20160629.033\EX64.SYS [X] ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo (jeśli uda się to w trybie normalnym) przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Widać elementy programu PUP Reimage Repair i innych adware. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {1F10AE8B-5D56-4DE6-AB60-33BE8C1F407F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {261B0D84-7D1A-4FCA-A655-7F2BC0B69A1D} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {93B0C158-A1B7-477C-BA40-6FDB9DBC4A59} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {A40E907C-6442-4AF7-B405-DE66863C7235} - \WPD\SqmUpload_S-1-5-21-446540921-2225081165-4115938140-1002 -> Brak pliku Task: {B7E9EB39-8FF5-4CFB-942F-D7AED556E554} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {BC4A8533-605C-4AC9-BD8B-8A9D87A3D20C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {C01EA02E-0773-47B8-ACC0-EF971975C3A1} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C2BAC789-ABD5-4020-8D5E-807A218C0C79} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D00554A2-1C2D-47FF-9760-8C9455D1944B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D64EF098-5FD2-419B-9CB2-56F31B20757B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D90D7EC6-2BC6-48A6-A568-72310564E988} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F3BB9FC2-CA9E-44D7-A6E7-4C988AE31BBC} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-446540921-2225081165-4115938140-1002 -> DefaultScope {20EEFE83-B525-421E-9B15-7805A3632A2D} URL = SearchScopes: HKU\S-1-5-21-446540921-2225081165-4115938140-1002 -> {20EEFE83-B525-421E-9B15-7805A3632A2D} URL = C:\Users\Janusz\Desktop\TOSHIBA EXT (E) — skrót.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Janusz\AppData\Local\Mozilla C:\Users\Janusz\AppData\Roaming\Mozilla C:\Users\Janusz\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (szczególną uwagę zwróć na rozszerzenia: Nurijol, Highlight Popup oraz Fase Fax - bo są przeze mnie niezweryfikowane). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie wszystko, bo nie przeskanowałeś praktycznie niczego. -Wyniki skanowania- Typ skanowania: Pełne skanowanie Wynik: Anulowano Obiekty przeskanowane: 0 (Nie wykryto zagrożeń) Czas, który upłynął: 0 min, 32 s Powtórz to działanie.

Dostarcz raport FRST (FRST, Addition oraz Shortcut) wraz z FSS.

W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK.

Detekcja UsbFix do usunięcia. Nie, podałem go tylko w celu informacyjnym, nie tylko dla Ciebie, lecz również dla osób, które być może analizują moje tematy ucząc się przy tym. Raczej nie, to są bardzo, bardzo stare modyfikacje adware. Stawiam, że wszystkie te hosty są i tak już od dawna nieaktywne, a sama mapa jest martwa. Ad. 1 Czasem się zdarza, gdy jakiś program się np. wyspie. Nawet ja mam to czasem u siebie w systemie. Ad. 2 Nic dziwnego, to na pewno nie oznaka infekcji. Patrz wyżej. OK, detekcja z UsbFix do kasacji. Zauważyłem, że to się zdarza coraz częściej tu na forum. Spróbuj zostawać się do tej instrukcji: KLIK.

Narzędzia używane do generacji raportów możesz skasować (są często aktualizowane, więc jednorazowe) - KLIK.

Raporty dostarczone, więc mogę teraz coś powiedzieć. W raportach brak oznak infekcji, a problem, z którym się tutaj zgłosiłeś wygląda na kompletnie poza infekcyjny. Temat przenoszę do działu Software.

Tak, myślę, że to będzie najlepszym rozwiązaniem. Odinstaluj i przejdź do wykonywania poniższych zadań. 1. Wyniki z AdwCleaner zweryfikowane. Teraz możesz przejść do opcji dezynfekcji w tym programie. Przeprowadź skan, a po nim kliknij w Oczyść. Zaprezentuj raport z tego działania. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Help and HOW-TO.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Release info.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\SpeedFan.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Uninstall SpeedFan.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Screaming Frog SEO Spider\Screaming Frog SEO Spider.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Screaming Frog SEO Spider\Uninstall Screaming Frog SEO Spider.lnk C:\Users\martyna\Desktop\ML\Xenu.lnk C:\Users\martyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player\FoxTab FLV Player.lnk C:\Users\martyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player\Uninstall FoxTab FLV Player.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Stefan\AppData\Local\Mozilla C:\Users\Stefan\AppData\Roaming\Mozilla C:\Users\Stefan\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\Program Files\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeprowadź pełne skanowanie systemu za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nic dziwnego, że system nie wyrabia, przy tak kolosalnym bałaganie. Mnóstwo infekcji adware / PUP. Jest tu co robić. Akcja. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: RemoveDirectory: C:\Program Files (x86)\Fishhas HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\CurrentVersion\Windows: [Run] C:\Users\KubaDamaszk\AppData\Roaming\datasyst\sys.exe HKLM\...\Providers\grjsiaw4: C:\Program Files (x86)\Qazlegakepy Schedule\local64spl.dll [292352 2017-01-18] () C:\Program Files (x86)\Qazlegakepy Schedule ShellExecuteHooks: Brak nazwy - {CE1B435E-DB95-11E6-9921-64006A5CFC23} - -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms} HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms} R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [583680 2017-01-19] () [brak podpisu cyfrowego] R2 Prijik; C:\Program Files (x86)\Foteingjokiy\Srhcloud.dll [138752 2017-01-18] () [brak podpisu cyfrowego] R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [485376 2017-01-20] () [brak podpisu cyfrowego] S2 ed2kidle; "C:\Program Files (x86)\amuleC2\ed2k.exe" -downloadwhenidle [X] R2 OperaFootballManager; C:\Program Files (x86)\Opera\OperaFootballManager.dll [224256 2017-01-18] () [brak podpisu cyfrowego] R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [124416 2017-01-19] () [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [100352 2017-01-19] () [brak podpisu cyfrowego] S4 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [982016 2017-01-18] () [brak podpisu cyfrowego] C:\ProgramData\\CloudPrinter C:\Program Files (x86)\Firefox C:\Program Files (x86)\Gubed C:\Program Files (x86)\Opera C:\Program Files (x86)\Foteingjokiy C:\ProgramData\WinSAPSvc C:\Program Files (x86)\amuleC2 S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 ZTEusbnet; \SystemRoot\system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; \SystemRoot\system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; \SystemRoot\system32\DRIVERS\ZTEusbser6k.sys [X] 2017-01-18 02:12 - 2017-01-18 02:12 - 7316480 _____ () C:\Users\KubaDamaszk\AppData\Roaming\agent.dat 2017-01-18 02:12 - 2017-01-18 02:12 - 0054272 _____ () C:\Users\KubaDamaszk\AppData\Roaming\ApplicationHosting.dat 2017-01-18 02:12 - 2017-01-18 02:12 - 0070752 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Config.xml 2017-01-18 02:11 - 2017-01-18 02:11 - 0016560 _____ () C:\Users\KubaDamaszk\AppData\Roaming\InstallationConfiguration.xml 2017-01-18 02:11 - 2017-01-18 02:11 - 0140288 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Installer.dat 2017-01-18 02:12 - 2017-01-18 02:11 - 0982016 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Jaytax.exe 2017-01-18 02:12 - 2017-01-18 02:12 - 0072787 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Jaytax.tst 2017-01-18 02:12 - 2017-01-18 02:12 - 0126464 _____ () C:\Users\KubaDamaszk\AppData\Roaming\lobby.dat 2017-01-18 02:12 - 2017-01-18 02:12 - 0018432 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Main.dat 2017-01-18 02:12 - 2017-01-18 02:12 - 0005568 _____ () C:\Users\KubaDamaszk\AppData\Roaming\md.xml 2017-01-18 02:12 - 2017-01-18 02:12 - 0126464 _____ () C:\Users\KubaDamaszk\AppData\Roaming\noah.dat 2017-01-18 02:12 - 2017-01-18 02:12 - 1938531 _____ () C:\Users\KubaDamaszk\AppData\Roaming\OntoStrong.bin 2017-01-18 02:12 - 2017-01-18 02:11 - 0982016 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Stringfan.exe 2017-01-18 02:12 - 2017-01-18 02:12 - 1907662 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Stringfan.tst 2017-01-18 02:12 - 2017-01-18 02:12 - 0032038 _____ () C:\Users\KubaDamaszk\AppData\Roaming\uninstall_temp.ico C:\Users\KubaDamaszk\dzavwkzx.exe C:\Users\KubaDamaszk\oklghvki.exe HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\ChromeHTML: -> C:\Program Files (x86)\Fishhas\Application\chrome.exe (Google Inc.) Task: {EFDCDEFF-4C3B-40ED-B143-C30C81476994} - System32\Tasks\SteamClient => C:\Users\KubaDamaszk\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation) ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Fishhas\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3373c9ebc3a5e445\Chromium.lnk -> C:\Program Files (x86)\SuperBird\superbird.exe (The Superbird Authors) -> --profile-directory=Default ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Classes\regfile: regedit.exe "%1" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\KubaDamaszk\AppData\Local\Mozilla C:\Users\KubaDamaszk\AppData\Roaming\Mozilla C:\Users\KubaDamaszk\AppData\Roaming\Profiles Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Themes /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Obecny profil w przeglądarce Google Chrome (ChromeDefaultData) zidentyfikowany jest jako prefabrykowany (wstawiony przez nowoczesne adware) i szkodliwy. Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj nową osobę / profil, zaloguj się na nią > wejdź ponownie do sekcji Osoby i skasuj wszystkie poprzednie osoby / profile. 3. Ustaw przeglądarkę Google Chrome jako domyślną (ze względu na aktywność infekcji podszywającą się pod nią) - KLIK. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). Fishhas Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK.

Odpowiem za kilka godzin edytując ten post.

Skoro polityki były Twoje to mam je odtworzyć, czy sam sobie poradzisz? OK. Wszystkie usługi są cale, tylko zdezaktywowane. OK. Czysto, brak oznak infekcji.

Raporty zostały wygenerowane przy użyciu przestarzałej wersji narzędzia Farbr Recovery Scan Tool (wersja sprzed kilku miesięcy). Wykonaj nowy zestaw raportów przy użyciu najnowszej wersji FRST.

W systemie widać tylko nałożone polityki grup, lecz możliwe, że są one od Comodo / SpyShelter (jeśli tak jest to je przywrócą). Mam jeszcze pytanie czy zagraniczne adresy ustawione na routerze to celowe ustawienie (KLIK / KLIK)? 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoAutorun] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-3794177849-378319563-855490622-1000\...\Policies\Explorer: [NoAutorun] 1 GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia GroupPolicyScripts: Ograniczenia C:\ProgramData\Microsoft\Windows\GameExplorer\{6E03AA39-71A4-4057-B05E-399B8A1ADA87}\PlayTasks\3\Wykrywanie sprzętu.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{6E03AA39-71A4-4057-B05E-399B8A1ADA87}\PlayTasks\3\Wykrywanie sprzętu.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\4\Zarejestruj grę.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\3\Wykrywanie sprzętu.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\2\ReadMe.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\1\Podręcznik gry.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\0\Uruchom grę Driver Parallel Lines.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\LEGOR\AppData\Local\Mozilla C:\Users\LEGOR\AppData\Roaming\Mozilla C:\Users\LEGOR\AppData\Roaming\Profiles Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Widzę tutaj dziwne wpisy dot. usług zabezpieczających (pierwsze dwa to może być sprawka Comodo lub SpyShelter, lecz co do trzeciego to nie mam pomysłu), zrób raport z Farbar Service Scanner, dodatkowo pobieram również wygląd całych kluczy usług w skrycpie. mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. Sprawdź usługę "winmgmt" lub napraw WMI. 3. Zrób nowy zestaw raportów FRST.

Teraz podepnij pendrvie i zastosuj opcję Clean. Dostarcz raport z tego działania, a następnie sprawdź czy z pendrivem już wszystko w porządku.

Spójrz na instrukcję pod postem (dzięki Rucek za uzupełnienie). Spróbuj te dwie: C:\Program Files\Mozilla Firefox\firefox.exe -p C:\Program Files(x86)\Mozilla Firefox\firefox.exe -p

OK.

1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {313BFD36-87C9-4796-8038-2B41374C154D} - System32\Tasks\{8ABE5302-AE42-4267-9401-FC754BAF969C} => pcalua.exe -a C:\Users\Paulinka\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor C:\Users\Paulinka\AppData\Roaming\istartsurf Task: {F714C547-A9C6-4918-A005-6FF236E0310D} - \Readaleanernert Client -> Brak pliku S2 MirillisProgesplerherle; rundll32.exe "C:\Program Files (x86)\Progesplerherle\MirillisProgesplerherle.dll",soeasy [X] S2 Phughtfejk; C:\Program Files (x86)\Progesplerherle\PlmCache.dll [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zainstaluj jakąś przeglądarkę, polecam Google Chrome. 3. Kompleksowo sprawdź działanie systemu.

Nie, na tym już skończymy jeśli chodzi o ten dział. Teraz temat jedzie do działu Windows 7 gdzie pomogą rozwiązać Ci problem dot. Adobe Flash Player.

OK, temat jedzie do działu Windows 10 - tam Ci jeszcze pomogą ws. czarnego ekranu. Narzędzia używane podczas dezynfekcji możesz skasować - KLIK.

Rucek jak masz dziś jeszcze czas, to bez problemy dziś to załatwimy. 1. Pomyślnie wykonane. 2. Wynik zagrożeń nie powinien dziwić, bo MBAM liczy każdy plik z zarażonego folderu jako osobne zagrożenie. Wszystkie wyniki do kasacji. 3. Jawne infekcje (już ostatnie), daje do kasacji. 4. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: R2 IVTCorporationLGElectronics; C:\Program Files (x86)\IVT Corporation\IVTCorporationLGElectronics.dll [224256 2017-01-16] () [brak podpisu cyfrowego] R2 KLiteCodecPackBagiph; C:\Program Files (x86)\Bagiph\KLiteCodecPackBagiph.dll [224256 2017-01-16] () [brak podpisu cyfrowego] RemoveDirectory: C:\Program Files (x86)\IVT Corporation RemoveDirectory: C:\Program Files (x86)\Bagiph RemoveDirectory: C:\Program Files\NLK2992XLN 2017-01-18 21:59 - 2017-01-18 21:59 - 00000000 ____D C:\Program Files (x86)\pccleanplus 2017-01-18 21:39 - 2017-01-18 21:39 - 00000000 ____D C:\Program Files (x86)\75amba5r 2017-01-16 18:44 - 2017-01-20 15:36 - 00000000 ____D C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692 2017-01-16 18:50 - 2017-01-16 18:50 - 00000000 ____D C:\Program Files\IWKFISC3A2 2017-01-16 18:46 - 2017-01-16 18:46 - 00000000 ____D C:\Program Files\HJ4VW0KY28 2017-01-17 21:54 - 2017-01-18 22:08 - 00000000 ____D C:\Program Files (x86)\Progesplerherle 2017-01-16 20:11 - 2017-01-17 21:16 - 00000000 ____D C:\Program Files (x86)\Toheshphfeied 2017-01-17 21:54 - 2017-01-17 22:53 - 00000000 ____D C:\Users\Paulinka\AppData\Roaming\Ptiingvetertain 2017-01-17 21:54 - 2017-01-17 21:56 - 00000000 ____D C:\Users\Paulinka\AppData\Local\Praqtplenoing 2017-01-16 20:11 - 2017-01-16 20:15 - 00000000 ____D C:\Users\Paulinka\AppData\Local\Reitssetsh 2017-01-16 18:59 - 2017-01-16 18:59 - 00000000 ____D C:\Users\Paulinka\AppData\Local\UCBrowser 2017-01-16 18:42 - 2017-01-16 18:44 - 00000000 ____D C:\Users\Paulinka\AppData\Local\Vuwoch 2017-01-16 18:45 - 2017-01-16 18:45 - 00140288 _____ C:\Users\Paulinka\AppData\Roaming\Installer.dat 2017-01-16 18:47 - 2017-01-16 18:48 - 0018432 _____ () C:\Users\Paulinka\AppData\Roaming\Main.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Przeskanuj system za pomocą BitDefender Adware Removal Tool. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To jedno, ale czy problem z wyłączeniem systemu również ustąpił?