Miszel03

Przeoczyłem - do kasacji.

System jest mocno zainfekowany przez adware, PUP (modyfikacja proxy, fałszywe oprogramowanie zabezpieczające, blokady typu Debugger itd.). Od razu przechodzimy do działań, nie ma na co czekać. 1. Przez panel sterowania odinstaluj: System Optimizer 2013 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0E60C210-BF87-4E6E-A630-0D0D0B4FFF43} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {DC00EBA3-6ADF-40C3-9322-8273BB873C86} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {E10771D8-65B2-44F1-A523-CEF73FDD943F} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{CFD7EA7C-D469-4BEB-8EE0-DE5FB1D30EAE}.exe HKLM-x32\...\Run: [] => [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe AutoConfigURL: [s-1-5-21-2411782107-2092081716-956027298-1000] => hxxp://nonestops.net/wpad.dat?b6e02ac1091b185a4c8863cec314b76a19056679 ManualProxies: 0hxxp://nonestops.net/wpad.dat?b6e02ac1091b185a4c8863cec314b76a19056679 HKU\S-1-5-21-2411782107-2092081716-956027298-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntrId=7c4e86d4000000000000889ffab43a1b URLSearchHook: HKU\S-1-5-21-2411782107-2092081716-956027298-1000 - (Brak nazwy) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - Brak pliku URLSearchHook: HKU\S-1-5-21-2411782107-2092081716-956027298-1000 - (Brak nazwy) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-2411782107-2092081716-956027298-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Brak nazwy -> {3d86a75b-cb6b-4764-885d-ca6336f04ba2} -> Brak pliku BHO-x32: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku BHO-x32: Brak nazwy -> {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} -> Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - Brak pliku Toolbar: HKU\S-1-5-21-2411782107-2092081716-956027298-1000 -> Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - Brak pliku Toolbar: HKU\S-1-5-21-2411782107-2092081716-956027298-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku S3 AVG Security Toolbar Service; C:\Program Files (x86)\AVG\AVG10\Toolbar\ToolbarBroker.exe [X] S3 dbx; system32\DRIVERS\dbx.sys [X] RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz przeglądarkę Firefox: kliknij klawisz z flagą Windows + R > wklej komendę C:\Program files (x86)\Mozilla Firefox\firefox.exe- p > załóż nowy profil, stare wszystkie skasuj. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. W AdwCleaner wszystkie wyniki niespokrewnione z Auslogics do usunięcia, czyli tylko te: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [WinSAPSvc] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [ArcherGroupEx] 2. Podsumuj stan systemu.

Wygląda to już naprawdę lepiej. Zostały do usunięcia tylko szczątki, głównie foldery po adware / PUP. Nie będę tego wywalał ręcznie na razie, bo nie jestem pewien co do niektórych pozycji. 1. Wyniki z AdwCleaner zweryfikowane - teraz powtórz skan, a po nim kliknij w Oczyść. 2. Całościowo przeskanuj systemu za pomocą Malwarebytes AntiMalware (jest zainstalowany na dysku. Pamiętaj, aby przed skanem go zaktualizować). Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 3. Sprawdź poniższe pliki w usłudze VirusTotal.com i dostarcz link do analizy. C:\Program Files\NLK2992XLN\H01A1CSGG.exe C:\Program Files (x86)\IVT Corporation\IVTCorporationLGElectronics.dll C:\Program Files (x86)\Bagiph\KLiteCodecPackBagiph.dll 4. Zrób nowy zestaw raportów FRST.

Posty łączę, sprzątam temat. Raporty dołączone, możemy zaczynać. Ograniczam się właściwe tylko do usunięcia szczątek po adware / PUP. Aktualizacja Adobe Flash Player to raczej problem nie infekcyjny, więc temat po działaniach oczyszczających zwiedzi jeszcze dział Windows 7. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-233006258-18527085-3623643150-1000_Classes\CLSID\{6E3D7445-35DF-A880-1876-93C8202C536E}\InprocServer32 -> Brak ścieżki do pliku HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = C:\Users\Agata\cc_20140917_134813.reg C:\Users\Agata\Documents\Corel\Próbki CorelDRAW X5\target.lnk C:\Users\Agata\Documents\Corel\Próbki Corel PHOTO-PAINT X5\target.lnk C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\3592db6383e50090f757b95219486b37.jpg.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Ciasteczka przez maszynkę.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Dysk wymienny (F).LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Dysk wymienny (G).LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\fixitpc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Frau Saime.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Głowa.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Mürbeteig Fuki.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\rolladen rech.jpg.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Tylko Ty.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Wd0000000.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\zajac Głowa.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\zajac szyd.jpg.LNK Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Przepraszam za opóźnienia. System jest mocno zainfekowany przez adware (i to teraz staję się priorytetem), więc najpierw zaczynamy od deinstalacji programów adware / PUP i wstępnego skanowania za pomocą AdwCeaner. 1. Włącz funkcję przywracania systemu. 2. Przez panel sterownia odinstaluj: ContentPush Hola™ 1.16.446 - Better Internet 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy zestaw raport FRST.

Raport Addition jest ucięty. Wygeneruj nowy.

System nie jest zainfekowany, już po screenie widzę z czym mamy do czynienia. Podepnij zarażonego pendrive, następnie pobierz narzędzie USBFix i wykonaj raport z opcji Listing oraz Research. Raport zaprezentuj na forum.

Przeglądarka Google Chrome nie jest nawet zainstalowana, a FireFox jest albo uszkodzony, albo martwy. Usuwam. Pod koniec dezynfekcji pokieruje, aby zainstalować nową. W systemie kolosalny bałagan. Szkodliwe proxy, nowoczesne adware, infekcje blokujące pliki Kasperskiego i wiele wiele więcej. Akcja. 1. Wejdź do wymienionych katalogów: C:\Program Files (x86)\UCBrowser, C:\Program Files\żěŃą i z ich poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files HKU\S-1-5-21-3453456924-2562164534-3920574783-1000\...\Run: [Publisher] => C:\Users\Paulinka\AppData\Local\Temp\{c1b-05-5a-1648a-b04ca-d703-fa6d7}\AyI#xaqugf.exe -r1_5 -r2_1 ShellExecuteHooks: Brak nazwy - {41B7E29A-DB94-11E6-A96D-64006A5CFC23} - C:\Users\Paulinka\AppData\Roaming\Clorertyckidering\Ditokphesele.dll -> Brak pliku ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia AutoConfigURL: [s-1-5-21-3453456924-2562164534-3920574783-1000] => hxxp://noblockweb.org/wpad.dat?f7da5924bd1bc45a25a5f2a000c7ed5123833781 ManualProxies: 0hxxp://noblockweb.org/wpad.dat?f7da5924bd1bc45a25a5f2a000c7ed5123833781 SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku R2 gemeloki; C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692\proD09B.tmp [230400 2017-01-19] () [brak podpisu cyfrowego] R2 huveryky; C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692\kns406B.tmp [433664 2017-01-20] () [brak podpisu cyfrowego] C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692 S2 Grimaght; C:\Program Files (x86)\Bagiph\LervetainUpd.dll [X] R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) C:\Program Files (x86)\UCBrowser S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTCOM; system32\DRIVERS\btcomport.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] CustomCLSID: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Paulinka\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku Task: {6E0641BD-93B4-489B-8440-B071BA12DED4} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-16] (UC Web Inc.) Task: {C99FB0B3-31BF-4EF2-B18A-C4279DDD3FE9} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-16] (UCWeb Inc) Task: {E36A39D7-1BD2-43F3-A143-E07046D5F3B6} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-16] (UCWeb Inc) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652] AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\Uninstall the Matroska Pack.lnk C:\Users\Paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Paulinka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk C:\Users\Paulinka\AppData\Local\Microsoft\Windows\GameExplorer\{D5914A13-E384-472D-AE68-8CE0EE647A0F}\PlayTasks\0\Zagraj.lnk C:\Users\Paulinka\AppData\Local\Microsoft\Windows\GameExplorer\{9F91906D-CD32-4C1B-8D44-2F6EB4F4892F}\PlayTasks\0\Wiedźmin Edycja Rozszerzona.lnk C:\Users\Paulinka\AppData\Local\Microsoft\Windows\GameExplorer\{1B6B1BB2-6EA4-402F-971D-702D76E94B11}\PlayTasks\0\Play.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Paulinka\AppData\Local\Mozilla C:\Users\Paulinka\AppData\Roaming\Mozilla C:\Users\Paulinka\AppData\Roaming\Profiles Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To raczej problem kompletnie poza infekcyjnych, więc po potwierdzeniu zniknięcia komunikatu temat jedzie do działu Windows 10. W raportach brak oznak aktywnej infekcji (choć wpis, o którym informuje komunikat należy do infekcji uruchamianej via Harmonogram zadań i ja już to (martwe) zadanie widzę: WindowsUpda2ta), po poniższych działaniach komunikat zniknie. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {4476400E-FB39-4637-8995-141EF3ABB4FA} - \WindowsUpda2ta -> Brak pliku Task: {ADA5A2DF-AED7-4EDA-B195-7CA638813E5A} - \WPD\SqmUpload_S-1-5-21-3692091214-3129702816-543090555-1001 -> Brak pliku Task: {CC891835-3D87-4C96-82F4-01E7D8F0F381} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Problem Report Wizard\Run AMD Problem Report Wizard.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\acer\AppData\Local\Mozilla C:\Users\acer\AppData\Roaming\Mozilla C:\Users\acer\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).

1. Przez panel sterowania odinstaluj: ByteFence Anti-Malware Następnie przejdź do wymienionych katalogów: C:\Program Files (x86)\UCBrowser, C:\Program Files (x86)\WinArcher, C:\Program Files (x86)\Gubed, C:\ProgramData\WinSAPSvc i spróbuj z ich poziomu uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\...\Providers\kkez28a6: C:\Program Files (x86)\Phikaty Nodifier\local64spl.dll [292352 2017-01-16] () C:\Program Files (x86)\Phikaty Nodifier ShellExecuteHooks: No Name - {41B7E29A-DB94-11E6-A96D-64006A5CFC23} - -> No File ShellExecuteHooks: No Name - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [583680 2017-01-19] () [File not signed] R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [417280 2017-01-19] () [File not signed] R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [124416 2017-01-19] () [File not signed] R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [509440 2017-01-19] () [File not signed] C:\Program Files (x86)\WinArcher C:\Program Files (x86)\Gubed C:\ProgramData\WinSAPSvc U0 aswVmm; no ImagePath S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] U3 kxldapow; \??\C:\Windows\TEMP\kxldapow.sys [X] Task: {9E7F1F9F-F51A-4D10-8D34-559C35B38501} - \WPD\SqmUpload_S-1-5-21-1787938467-411497002-959167669-1001 -> No File Task: {C89EB585-F412-4E54-A7AF-DE78E63D567C} - \Optimize Start Menu Cache Files-S-1-5-21-1787938467-411497002-959167669-1001 -> No File Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files (x86)\UCBrowser WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Piotr\AppData\Local\Mozilla C:\Users\Piotr\AppData\Roaming\Mozilla C:\Users\Piotr\AppData\Roaming\Profiles C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Sprawdź poniższy plik w usłudze VirusTotal.com i dostarcz link do analizy pliku. C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winsvc.vbs

To dziwnie wygląda i mam obawy co do tego, że nie wywaliliśmy wszystkiego związanego z chińskimi programami. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). KuaiZip;żěŃą W obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum, następnie przeszukasz pliki tak samo, z tym, że wkleisz: KuaiZip*.*;żěŃą*.* i klikniesz w Szukaj Plików (Search Files). J/w dostarczasz raport SearchFiles.

W takim razie powtórz wyszukiwania również dla tego wyniku. Robisz to samo ale w przypadku wyszukiwania w rejestrze wklej: żěŃą a w przypadku wyszukiwania plików wklej: żěŃą*.*

Gdybyś edytował post, to po napisz do mnie PW, bo mogę to przeoczyć.

Narzędzia, którymi posługiwałeś się podczas pobytu na naszym forum możesz skasować - KLIK. Na liście zainstalowanych programów widać niezaktualizowane pozycje, a to niedopuszczalne jeśli ktoś chcę mieć bezpieczny system. Zaktualizuj je - KLIK.

Wszystko pomyślnie wykonane (Hosts równiez pomyślnie przywrócony). Od strony infekcji wygląda to już OK, oprócz feralnej mapy domen w przeglądarce IE. IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\007guard.com -> install.007guard.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\008i.com -> 008i.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\008k.com -> www.008k.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\00hq.com -> www.00hq.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\010402.com -> 010402.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\032439.com -> 80gw6ry3i3x3qbrkwhxhw.032439.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\0scan.com -> www.0scan.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\1-2005-search.com -> www.1-2005-search.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\1-domains-registrations.com -> www.1-domains-registrations.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\1000gratisproben.com -> www.1000gratisproben.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\1001namen.com -> www.1001namen.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\100888290cs.com -> mir.100888290cs.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\100sexlinks.com -> www.100sexlinks.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\10sek.com -> www.10sek.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\12-26.net -> user1.12-26.net IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\12-27.net -> user1.12-27.net IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\123fporn.info -> www.123fporn.info IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\123haustiereundmehr.com -> www.123haustiereundmehr.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\123moviedownload.com -> www.123moviedownload.com IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\123simsen.com -> www.123simsen.com Wykryto więcej niż wyliczono: 7868 witryn. Stawiam na to, że jest to martwe (działania podjęte przeze mnie powinny to usunąć), więc zostawiam. Telefon przeskanuj za pomocą Malwarebytes Anti-Malware For Android. Jeśli coś wykryje to niczego nie usuwaj, a poinformuj mnie o wynikach. Reszta problemów wymienionych przez Ciebie raczej nie ma podłoża infekcyjnego, więc po sprawdzeniu telefonu temat leci do działu Windows 7.

Póki całości systemu nie naprawie, to Cię nie wypuszczę. Jak będę miał jakiś pomysł to napiszę.

Raporty zbędne - nie prosiłem o nie, za to pytałem o stan systemu. Czy problem ustąpił?

WU uszkodzony nie jest, ale coś mi mówi, że uszkodzenie znajduję się w SoftwareDistribution (dlatego pomijam diagnostykę na to). 1. Przejdź w Tryb awaryjny Windows i ręcznie zmień nazwę folderu C:\Windows\SoftwareDistribution np. dopisując suffix "old" (SoftwareDistribuition.old). 2. Przejdź w Tryb normalny Windows, uruchom Windows Update i szukanie aktualizacji. Spróbuj je zainstalować. Szukanie aktualizacji powtarzaj do skutku, czyli do komunikatu, iż nic nie ma już do pobrania. Podaj wyniki czy procesy się udały.

W raportach brak oznak infekcji, na razie poprawki oraz diagnostyka usługi Windows Update. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: GroupPolicy: Ograniczenia R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Sebastian\AppData\Local\Mozilla C:\Users\Sebastian\AppData\Roaming\Mozilla C:\Users\Sebastian\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób i dostarcz raport z narzędzia Farbar Service Scanner. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

HKU\S-1-5-19\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-20\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-21-1404913608-3918273747-3791568628-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA Ustrojstwo siedzi dalej, muszę nad tym pomyśleć. Czy z Twojej strony problem ustąpił?

Daj z tego raport. Nie wszystko pomyślnie wykonane, jedziemy dalej: 1. Przywróć domyślny Hosts - KLIK. 2. AdwCleaner nic nie wykrył, za to ja chcę abyś i tak przeprowadził dezynfekcję z opcji Oczyść, ale uprzednio rozwiń pasek Opcje i zaznacz opcję Resetuj zasady IE. 3. Przeprowadź całościowe skanowanie systemu za pomocą programu Malwarebytes AntiMalware (masz na dysku). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut

Wszystkie wykryte zagrożenia daj do kasacji, następnie zrób mi nowy log FRST, już bez Addition i Shortcut. Dołącz też zaległy plik Fixlog.txt.

W raportach już brak oznak infekcji. Wyczyść folder C:\ProgramData\Microsoft\Windows Defender\Scans\FileStash, zaktualizuj Windows Defendera i sprawdź czy problem ustąpił.

Wszystko pomyślnie wykonane, prócz kluczy. Niby zostały usunięte... HKU\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Wartość pomyślnie usunięto HKU\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Wartość pomyślnie usunięto HKU\S-1-5-21-1404913608-3918273747-3791568628-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Wartość pomyślnie usunięto HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Wartość pomyślnie usunięto ...ale jednak nadal siedzą... 1. W AdwCleaner przeprowadź skanowanie jeszcze raz, po czym kliknij Oczyść. Nie musisz dostarczać raportu z tej dezynfekcji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-19\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-20\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-21-1404913608-3918273747-3791568628-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Task: {9BA86166-ED6F-4AA1-A0B0-F58561A34022} - System32\Tasks\{E11FB3AD-56B4-0406-572D-8A4A5C9E6889} => C:\ProgramData\{26080138-91A3-B693-6564-CA46456CBB20}\46176AEC-F1BC-DD47-810D-44792D52043D.exe <==== UWAGA EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeprowadź całościowe skanowanie systemu za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.