Miszel03

Masz punkt przywracania systemu, ale dokładnie sprzed tego działania? Jak wygląda aktualnie sytuacja z trybem awaryjnym?

Z tymi Twoim danymi to mogło być różnie, wcale nie musiały zostać usunięte, lecz np. ukryte. Powiedz mi czy oprócz problemów o podłożu innym niż infekcyjne (obracanie się ekranu) problemy infekcyjne ustały?

Cytuję z tematu picasso: Jeśli Ty zechcesz odinstalować oprogramowanie SpyHunter to najpierw odinstaluj go z poziomu panelu sterowania, a następnie użyj SpyHunterCleaner. Żeby było jasne: to Twoja decyzja, niczego nie sugeruję, tylko informuję o licznych kontrowersjach jakie niesie ze sobą ten program. P.S: Program Spybot - Search & Destroy jest już przestrzały i nie ochroni Cię przed zagrożeniami z dzisiejszej doby internetu. Zalecam deinstalacje. Ograniczamy się właściwie tylko do sprzątania po adware / PUP (więc pewnie dotychczasowe alerty Kasperskiego powinny zniknąć). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku BootExecute: GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S1 AVGIDSDriver; system32\DRIVERS\avgidsdrivera.sys [X] S0 AVGIDSHA; system32\DRIVERS\avgidsha.sys [X] S1 Avgldx64; system32\DRIVERS\avgldx64.sys [X] S0 Avgmfx64; system32\DRIVERS\avgmfx64.sys [X] S0 Avgrkx64; system32\DRIVERS\avgrkx64.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Oczywiście, mój brak odpowiedzi nigdy nie oznacza przerwania pomocy. Czasem po prostu mam inne sprawy na łepetynie lub zastanawiam się nad problemem związanym z tematem. Zrób nowe raport FRST.

Nic gorszego nie mogłeś zrobić - KLIK. System mocno zainfekowany przez infekcje typu adware, ale można też napotkać na poważniejsze modyfikacje / infekcję. 1. Przez panel sterowania odinstaluj: SafeFinder 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {016C248D-41AA-44C7-8552-480E8946FCB9} - System32\Tasks\{F1547A1F-46FF-CDB4-377C-685DB041A731} => C:\ProgramData\{6B7EBD86-DCD5-0A2D-D26A-0130C4695150}\FC00341A-4BAB-83B1-0C71-29009D0174B7.exe <==== UWAGA Task: {0286F61B-9BB4-4F88-9FA0-99D0F84CEEC7} - System32\Tasks\{C04B6B8D-77E0-DC26-63AB-144A81110696} => C:\ProgramData\{5B14CFC4-ECBF-786F-A9AF-FC0ABD7BD556}\C71A1FCF-70B1-A864-1A32-11EEB76448AB.exe <==== UWAGA Task: {0872F64D-3E0E-43F8-80E9-588815687649} - System32\Tasks\{F32DF7EC-4486-4047-8D33-96F7EBD56CE5} => C:\ProgramData\{8748F9DF-30E3-4E74-CA94-46BB37D7E85F}\D5B4235F-621F-94F4-796E-89BD21F89852.exe <==== UWAGA Task: {0CF1B993-4797-4262-AE65-05EFAA485E2E} - System32\Tasks\{B53A28DF-0291-9F74-50AC-EFE97F2DEE38} => C:\ProgramData\{1366BBDE-A4CD-0C75-592F-41374EF30C75}\7363D407-C4C8-63AC-A272-5E4DDE25B5F4.exe <==== UWAGA Task: {0FD521CB-DE45-4B3A-8A88-2B271BF3C327} - System32\Tasks\{EDBCEE76-5A17-59DD-D848-891296198781} => C:\ProgramData\{5CEED0A5-EB45-670E-EB68-B2A76268AAD2}\6A400C12-DDEB-BBB9-EAA0-E1A9470167AC.exe <==== UWAGA Task: {16127789-3754-44D9-93C7-271F6EFD95BC} - System32\Tasks\{6B6DE731-DCC6-509A-8B74-ABA6520D3D4E} => C:\ProgramData\{61B1ADEF-D61A-1A44-8FC7-68BC96737A6D}\8703F087-30A8-472C-90BA-1FAE77AC5E5A.exe <==== UWAGA Task: {1A0768BC-0AAA-406D-BDA7-497E44B9DD05} - System32\Tasks\{AFC8A7B0-1863-101B-C131-6252E2759200} => C:\ProgramData\{9B6FE889-2CC4-5F22-EED0-326D7C444ADD}\3B318153-8C9A-36F8-57B5-5880DCC1F893.exe <==== UWAGA Task: {1A3F2A6D-AFD3-40D1-A343-302B9E651A39} - System32\Tasks\{2CE0D0DB-9B4B-6770-F929-FBFF650B5F6A} => C:\ProgramData\{C7ECE7C1-7047-506A-734D-D819462375E3}\0B8A7248-BC21-C5E3-F131-2B691612639A.exe <==== UWAGA Task: {1B965608-C621-41C3-AC5C-85F6499977E9} - System32\Tasks\{4C0B7AD6-FBA0-CD7D-A682-C81B0C011766} => C:\ProgramData\{E5044CF6-52AF-FB5D-F0BD-BDF9F60575F9}\F46EDC05-43C5-6BAE-AB9F-23378DAA065A.exe <==== UWAGA Task: {2C9DEA48-CC99-435E-99A6-217FA6C63E99} - System32\Tasks\{DA510455-6DFA-B3FE-9BEC-8F765AB6C56C} => C:\ProgramData\{8C2C48F4-3B87-FF5F-9A10-E452845FB954}\A46529B4-13CE-9E1F-BAEF-EA96A02768F4.exe <==== UWAGA Task: {300EA74E-990F-4624-8985-6345ECDE4694} - System32\Tasks\{BA1BF0AD-0DB0-4706-7706-8865CFB457BB} => C:\ProgramData\{5ECAD1DD-E961-6676-22FA-FBFD05EBF8D3}\E7E71743-504C-A0E8-DC02-EEB116FE4684.exe <==== UWAGA Task: {3100666E-F902-43FE-BF19-50C35015CF59} - System32\Tasks\{22EA066E-9541-B1C5-50EE-ECE73C3D0626} => C:\ProgramData\{9F5FBD80-28F4-0A2B-45AF-8E62EE08D39B}\F3882669-4423-91C2-DC30-871DECC927FD.exe <==== UWAGA Task: {465922D6-04BE-409F-A052-F65C8662DF6F} - System32\Tasks\{0EC35812-B968-EFB9-B677-C024701662AB} => C:\ProgramData\{001E29EA-B7B5-9E41-9787-0AA87551DC97}\C608A911-71A3-1EBA-4C04-8C7733D3D58F.exe <==== UWAGA Task: {539604A6-F9B5-4D40-A26D-F514C354E50E} - System32\Tasks\{AFE8B452-1843-03F9-429E-AFB64C088F7F} => C:\ProgramData\{BB07DA2E-0CAC-6D85-70D9-CB9B9C2E82F8}\50B52A88-E71E-9D23-66B3-7D16C45E6AA5.exe <==== UWAGA Task: {5FD37715-E8EF-493A-BD2B-307B6EF4AD20} - System32\Tasks\{B016C88F-07BD-7F24-3DD3-D11411FCF1BD} => C:\ProgramData\{3CBF6F0A-8B14-D8A1-A6CE-787CD6BF47EB}\AD030693-1AA8-B138-1961-C7C5C6BD4E4E.exe <==== UWAGA Task: {60C6137A-8B93-4911-A8A1-7A38743A9AB4} - System32\Tasks\{5F406797-E8EB-D03C-7BA0-75FC761AD63A} => C:\ProgramData\{78B00946-CF1B-BEED-ADF9-034AF8246389}\68D4F6AA-DF7F-4101-F76C-73BEF96468F0.exe <==== UWAGA Task: {6426EAB8-9AE9-4781-8B07-A3DF54B75A3C} - System32\Tasks\{B9CB120E-0E60-A5A5-0B57-02F98F708C26} => C:\ProgramData\{495A98E4-FEF1-2F4F-C3C7-E8252707F021}\E531B500-529A-02AB-68B0-E024A0410F77.exe <==== UWAGA Task: {73BAC09A-2BAF-49F8-97BA-FD4F55641131} - System32\Tasks\{9906C709-2EAD-70A2-9711-CB6B6DC3ADAA} => C:\ProgramData\{15AF8F5C-A204-38F7-4E79-336FE397B38C}\69B07429-DE1B-C382-B12E-FB557B36B409.exe <==== UWAGA Task: {768100B3-D84C-477C-94B4-F27642CE86C4} - System32\Tasks\{4BA724E0-FC0C-934B-17FC-2D92589C1754} => C:\ProgramData\{105C3B94-A7F7-8C3F-F3EA-02A345795ED0}\5CA33D79-EB08-8AD2-6D66-1A92BDD6B345.exe <==== UWAGA Task: {78FC992F-FE8E-488E-993E-DB2F42690ABB} - System32\Tasks\{4EEB2F26-F940-988D-DE60-E57F19497121} => C:\ProgramData\{21790356-96D2-B4FD-AD61-2F4CF17A9B81}\BB016C66-0CAA-DBCD-8CC7-6FAE8B180DF6.exe <==== UWAGA Task: {88B7498D-29CE-4E57-9034-5740D856BBE5} - System32\Tasks\{8B2A1343-3C81-A4E8-48C7-D1A84844BBA5} => C:\ProgramData\{BD84D3EF-0A2F-6444-8F65-938EB80E1957}\050D8A29-B2A6-3D82-2127-EFFA44DC457F.exe <==== UWAGA Task: {8C28CD76-E047-40CA-A887-9AEB41B13D9C} - System32\Tasks\{71C0605B-C66B-D7F0-483B-9809C3094D94} => C:\ProgramData\{B57A5927-02D1-EE8C-672D-6BBC4C2AC0E4}\A193C88F-1638-7F24-4E8C-104AD0E14908.exe <==== UWAGA Task: {911DE2FA-01C3-49C5-884F-52209202AE22} - System32\Tasks\{E418E97A-53B3-5ED1-D3B7-A575967103E3} => C:\ProgramData\{18D39AC1-AF78-2D6A-37B3-79833EB13FD8}\E3BE0538-5415-B293-9C8A-907FA3F57590.exe <==== UWAGA Task: {94F20002-6AA5-46EE-A83B-636A1D1AF5EC} - System32\Tasks\{4AC422A5-FD6F-950E-7BEC-0525CA07F261} => C:\ProgramData\{6D375C8C-DA9C-EB27-9019-CC5894D39D3A}\AFFACA55-1851-7DFE-20A7-E3591CB4680B.exe <==== UWAGA Task: {A2B91E85-762B-4B5C-9769-B0CCAE97B76F} - System32\Tasks\{68BD2F1E-DF16-98B5-B932-12401E1923B4} => C:\ProgramData\{8F561E7B-38FD-A9D0-4401-077EE17E4401}\790CC846-CEA7-7FED-0996-A78E9D3C723F.exe <==== UWAGA Task: {A35752F8-95E6-43AF-8E0C-DA7F5CDC7600} - System32\Tasks\{F31ED9E4-0A31-9DA9-669B-F76E22D50C59} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\c0a16c51\be3f8c4a.dll" <==== UWAGA Task: {B7298312-42A7-46B9-88F0-1077E802911F} - System32\Tasks\{03752696-B4DE-913D-8CCC-6461546E4917} => C:\ProgramData\{7DC0C730-CA6B-709B-2698-B3973B984B7C}\72246AFB-C58F-DD50-47D9-FE7EE940441D.exe <==== UWAGA Task: {D9EF27C9-FBFC-4D8B-BE2D-7F74B2BF5379} - \RegClean Pro -> Brak pliku <==== UWAGA Task: {DE4C97B0-FC2F-4338-B839-DF6F4EABE4B0} - System32\Tasks\{9D01111D-2AAA-A6B6-BE57-FBCF1B1F9240} => C:\ProgramData\{D0DFF17C-6774-46D7-1FBB-692FCFDDC3A7}\87EE3DBB-3045-8A10-B5C9-E94A5BE4E09D.exe <==== UWAGA Task: {E402F2D7-0F27-4446-8DAD-AF636F9ECE40} - System32\Tasks\{B6381D3A-0193-AA91-01B6-C897FB226F78} => C:\ProgramData\{262D2C75-9186-9BDE-4A9F-AE841724DF5C}\CE389FD9-7993-2872-2C56-B1DF9CA4F3E2.exe <==== UWAGA Task: {E8D2EF81-2413-4778-99BF-3AF6C214CDCF} - System32\Tasks\{5742ACFA-E0E9-1B51-216F-A52A232CD766} => C:\ProgramData\{1B189817-ACB3-2FBC-847B-29E53B2E8C8B}\923F6EDE-2594-D975-4382-A38776AF2716.exe <==== UWAGA Task: {F1842D6F-921C-4CD6-A790-8ED2A1DDB842} - System32\Tasks\{BA92F4D2-0D39-4379-171D-5354781E629A} => C:\ProgramData\{2AD2427D-9D79-F5D6-35C2-A039B37B293D}\E6F106FE-515A-B155-E351-0D2C6D5AA0C4.exe <==== UWAGA Task: {FED0A29A-29EE-4293-9D1A-96056DD81236} - System32\Tasks\{E680FEC0-512B-496B-EF40-7C0CCA6E25C6} => C:\ProgramData\{8A5B51D8-3DF0-E673-C04C-1362E721617D}\0D37A3F1-BA9C-145A-120E-135B1342F2DC.exe <==== UWAGA HKU\S-1-5-19\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-20\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-21-1404913608-3918273747-3791568628-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-20] (Microsoft Corporation) <==== UWAGA ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-1404913608-3918273747-3791568628-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1404913608-3918273747-3791568628-1000 -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = S3 ACTION_SVC; C:\Program Files (x86)\Mirillis\Action!\action_svc.exe [X] S2 MachineHelper; C:\ProgramData\MachineHelper\MachineHelper [X] S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz134; \??\C:\Users\Daniel\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton 360\NortonData\22.7.0.76\Definitions\SDSDefs\20160803.001\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton 360\NortonData\22.7.0.76\Definitions\SDSDefs\20160803.001\EX64.SYS [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin\Usuń Origin.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bridge Construction Set Demo\Bridge Construction Set Demo.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bridge Construction Set Demo\Chronic Logic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bridge Construction Set Demo\Hardware Configuration.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bridge Construction Set Demo\Online Manual.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bridge Construction Set Demo\Uninstall Bridge Construction Set Demo.lnk C:\Users\Daniel\Links\zdjęcia.lnk C:\Users\Daniel\Downloads\Continue Live Installation.lnk C:\Users\Daniel\Desktop\Pliki Pulpitu\forder z samochodamo\Euro Truck Simulator\Configure Graphics Options.lnk C:\Users\Daniel\Desktop\Pliki Pulpitu\forder z samochodamo\Euro Truck Simulator\Euro Truck Simulator Manual.lnk C:\Users\Daniel\Desktop\Pliki Pulpitu\folder Ewy\Launch Test Drive Unlimited (2).lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Daniel\AppData\Local CMD: dir /a C:\Users\Daniel\AppData\LocalLow CMD: dir /a C:\Users\Daniel\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Nie podoba mi się obecny stan przeglądarki FireFox (niedomyślne modyfikacja user.js i to raczej nie może być nic dobrego), dlatego proszę o kasacja wszystkich profili przeglądarki i założenie nowego, czystego. Klinij klawisz z flagą Windows + R > wklej komende C:\Program Files (x86)Mozilla Firefox\firefox.exe -p > załóż nowy profil, wszystkie stare skasuj. 4. Zrób i dostarcz raport AdwCleaner z opcji Skanuj, chcę sprawdzić czy coś jeszcze wykrywa. Dostarcz również stare raporty. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji. Temat jedzie do działu Windows 7. P.S: Nie posiadasz żadnego samodzielnego oprogramowania zabezpieczającego, a w tej dobie internetu to nie do pomyślenia dla zwykłego użytkownika - KLIK.

W raportach brak oznak infekcji, w spoilerze zadaję działania poboczne, kosmetyczne. Temat przenoszę do działu Windows 7.

Ustrojstwo dalej siedzi, ale wiem co jest przyczyną. Nie mogę kasować tyle tego co widać w raportach = mój ewidentny błąd. Poproszę o wygląd rejestru i plików pod kątem UCBrowser. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). ucborwser W obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum, następnie przeszukasz pliki tak samo, z tym, że wkleisz: ucborwser*.* i klikniesz w Szukaj Plików (Search Files). J/w dostarczasz raport SearchFiles.

Wykryły coś? Na przyszłość proszę dostarczać raporty również z takich działań. Jeszcze apropos tego: sprawdź jak wygląda użytkowanie Internetu z wyłączonym Kasperskim. W raportach brak oznak infekcji, a w spoilerze działania poboczne, kosmetyczne. Temat przenoszę do działu Sieci.

UCBrowser odtworzył się, więc walczymy z nim dalej. Inne adware udało się usunąć w całości, a tak tj. mówiłem wcześniejszej plik Brontoka to była tylko szczątka. 1. Detekcje AdwCleaner do usunięcia, dostarcz z tego raport. Sprawdź dodatkowo czy AdwCleaner przy kolejnym skanowaniu (po wykonanym pkt. 2) wykryje coś jeszcze. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DisableService: ucdrv R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) RemoveDirectory: C:\Program Files (x86)\UCBrowser RemoveDirectory: C:\Users\Pryta\AppData\Local\UCBrowser RemoveDirectory: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Pryta\Downloads\UCBrowser_V6.0.1308.1013_windows_pf101_(Build17011217).exe C:\Users\Pryta\Downloads\UCNewsIntl_V1.3.0.825_android_pf178_(Build160720184530).apk C:\Users\Pryta\AppData\Local\Kosong.Bron.Tok.txt C:\Users\Pryta\AppData\Local\*brontok* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Na liście programów nadal widoczny SpyHunter, w raportach też trochę go widzę. Czy odinstalowałeś go? Jeśli tak to zastosuj jeszcze mimo wszystko SpyHunterCleaner. 4. Wyczyść folder Pobrane / Download, nie chcę tego robić skryptem, bo może masz tam coś co chcesz zostawić (p.s pobierając więcej pirackiego oprogramowania tylko pogorszysz sprawę). 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Do kasacji daj wszystko oprócz poniższych detekcji, a następnie podsumuj obecny stan systemu. PUP.Optional.AshampooRegistryCleaner PUP.Optional.GeekBuddy

Rozwiń to bardziej, dodaj screen pulpitu. Na razie spory pobór danych. Uruchom SystemLook, w oknie programu poniższy skrypt. :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop /s HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /s HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options /s HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /s HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s HKEY_USERS\S-1-5-21-zmienne numerki\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s HKEY_USERS\S-1-5-21-zmienne numerki\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s Następnie kliknij w Look. Momentalnie wyskoczy Notatnik z raportem. Zawartość Notatnika wkleisz na forum,.

FRST, raporty możesz już usunąć - KLIK.

Wszystkie wykryte zagrożenia możesz usunąć (na szczęście brak detekcji BRONTOKA). Podsumuj obecny stan systemu.

Jedziemy dalej: 1. W AdwCleaner (po skanie) przeprowadź dezynfekcje z opcji Oczyść. Nie musisz dostarczać raportu. 2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Przejrzałem te raporty jeszcze raz, nic w nich nie ma. To nie wygląda na reklamy o podłożu infekcyjnym. U siebie (np.: na serialnet.pl) też mam takie reklamy:

W raportach widocznych sporo infekcji, instalacji adware / PUP. Od razu przechodzimy do działań: 1. Włącz przywracanie systemu. 2. Przez Panel Sterownia odinstaluj: Online.io Application Traffic Exchange Dodatkowo wejdź do tych katalogów: C:\Program Files (x86)\UCBrowser, C:\Program Files\żěŃą i spróbuj uruchomić z nich plik deinstalatora (nazwa to będzie coś typu uninstall.exe). 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-18\...\Run: [] => 0 ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-15] () C:\Program Files\żěŃą HKU\S-1-5-21-4025576816-31018432-1891004371-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrAOqy038KKUuPkN7Jsblii8mKtbeE-Mw-MI4xTQQ0a5MNblKKsmndVX-wbZmf8S94xMm2--tymdeODLPWzkQ7B3sdQZx9HWMVDAFZA3jelIbZ9XRHW0VnVmasn2LyA0nYbB4u6pPudJ71w2SjSBh7OD3goA,,&q={searchTerms} HKU\S-1-5-21-4025576816-31018432-1891004371-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-4025576816-31018432-1891004371-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) 2017-01-15 10:52 - 2017-01-15 11:17 - 00003476 _____ C:\WINDOWS\System32\Tasks\UCBrowserSecureUpdater 2017-01-15 10:52 - 2017-01-15 10:55 - 00000486 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job 2017-01-15 10:52 - 2017-01-15 10:52 - 00003502 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater 2017-01-15 10:52 - 2017-01-15 10:52 - 00001597 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk 2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\Users\user\AppData\Local\UCBrowser 2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\Program Files (x86)\UCBrowser 2017-01-15 10:51 - 2017-01-15 10:51 - 00092832 _____ (WinMount International Inc) C:\WINDOWS\system32\Drivers\KuaiZipDrive.sys 2017-01-15 10:51 - 2017-01-15 10:51 - 00000884 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk 2017-01-15 10:51 - 2017-01-15 10:51 - 00000860 _____ C:\Users\user\Desktop\żěŃą.lnk 2017-01-15 10:51 - 2017-01-15 10:51 - 00000000 ____D C:\Program Files\żěŃą 2017-01-15 10:50 - 2017-01-15 10:50 - 07316480 _____ C:\Users\user\AppData\Roaming\agent.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 01938534 _____ C:\Users\user\AppData\Roaming\Hot-Com.bin 2017-01-15 10:50 - 2017-01-15 10:50 - 01907313 _____ C:\Users\user\AppData\Roaming\Zot-Phase.tst 2017-01-15 10:50 - 2017-01-15 10:50 - 00982016 _____ C:\Users\user\AppData\Roaming\Zot-Phase.exe 2017-01-15 10:50 - 2017-01-15 10:50 - 00982016 _____ C:\Users\user\AppData\Roaming\Tonfan.exe 2017-01-15 10:50 - 2017-01-15 10:50 - 00140288 _____ C:\Users\user\AppData\Roaming\Installer.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 00126464 _____ C:\Users\user\AppData\Roaming\noah.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 00126464 _____ C:\Users\user\AppData\Roaming\lobby.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 00072787 _____ C:\Users\user\AppData\Roaming\Tonfan.tst 2017-01-15 10:50 - 2017-01-15 10:50 - 00070752 _____ C:\Users\user\AppData\Roaming\Config.xml 2017-01-15 10:50 - 2017-01-15 10:50 - 00054272 _____ C:\Users\user\AppData\Roaming\ApplicationHosting.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 00018432 _____ C:\Users\user\AppData\Roaming\Main.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 00016560 _____ C:\Users\user\AppData\Roaming\InstallationConfiguration.xml 2017-01-15 10:50 - 2017-01-15 10:50 - 00005568 _____ C:\Users\user\AppData\Roaming\md.xml Task: {202D255C-1CFA-4768-BD03-8C2AB63918B1} - System32\Tasks\psv_Dongron => /c regedit.exe /s "C:\ProgramData\Hotfresh\Stronglight.reg" & del "C:\ProgramData\Hotfresh\Stronglight.reg" & SCHTASKS /Delete /TN "psv_Dongron" /F Task: {3B50FBD6-82F1-48E6-9A55-BA186D726C38} - System32\Tasks\psv_Dondincom => /c regedit.exe /s "C:\ProgramData\Hotfresh\Black-Phase.reg" & del "C:\ProgramData\Hotfresh\Black-Phase.reg" & SCHTASKS /Delete /TN "psv_Dondincom" /F Task: {3DE937E6-1DDE-4714-AE2B-CA2B1EAC4ED5} - System32\Tasks\psv_RunTojob => /c regedit.exe /s "C:\ProgramData\Hotfresh\Freshtolight.reg" & del "C:\ProgramData\Hotfresh\Freshtolight.reg" & SCHTASKS /Delete /TN "psv_RunTojob" /F Task: {42404135-7397-4B1F-8680-1CBD913C35A0} - System32\Tasks\psv_Goldentone => /c regedit.exe /s "C:\ProgramData\Hotfresh\Cof-Touch.reg" & del "C:\ProgramData\Hotfresh\Cof-Touch.reg" & SCHTASKS /Delete /TN "psv_Goldentone" /F Task: {5448DC11-3EF6-4CB8-BA7D-AB8ED96461BD} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-11] (UCWeb Inc) Task: {5803BD9B-9037-47DA-A2C5-AD0CBD396A6F} - System32\Tasks\psv_Canity => /c regedit.exe /s "C:\ProgramData\Hotfresh\Fresh-Zap.reg" & del "C:\ProgramData\Hotfresh\Fresh-Zap.reg" & SCHTASKS /Delete /TN "psv_Canity" /F Task: {78AF8A6E-0E7A-487C-BA6F-BE9CC6AA1D9B} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-15] (UC Web Inc.) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\ProgramData\Hotfresh EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Oba pliki, które były podjęte analizie skasuj ręcznie. Odpowiedz na pkt. 3 mojego poprzedniego postu.

Opis problemu z Twojej strony pokrywa się w dużej mierze z tym co ja widzę w raportach, więc opis stanu systemu sobie odpuszczę. Przechodzimy do działań (apropos: czy ustawienie amerykańskich adresów na routerze to Twoje celowe ustawienie? [KLIK / KLIK]). 1. Przez panel sterowania sugeruję odinstalować program Spybot - Search & Destroy, bo to program stary i nierozwijany. Nie zapewnia ochrony przed zagrożeniami z dzisiejszej doby internetu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-388023396-1302235654-2053244740-1000\...\Run: [AdobeBridge] => [X] ShellExecuteHooks: Brak nazwy - {207C127A-D3FB-11E6-8819-64006A5CFC35} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> Brak pliku HKU\S-1-5-21-388023396-1302235654-2053244740-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCXgX_y1Xh2d2GWvpSyv1wJfXlldhxI8guvGTZT_AiFeWNn49vF3wQytfXi89v0zLhhQ6ptmi_oP2jBSTBupCEeOixehwF4cejx7eRQe5EqGLF0Gm3NS8oUSrpddaN7LCl4_uVvle1GfgI4jkrZjfvQkNk6J&q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = S2 Atizotionstesa; C:\Program Files\Gouther\RgtPrv.dll [X] S2 AxAutoMntSrv; C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [X] S2 StarWindServiceAE; C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X] U3 a0gcejsg; Brak ImagePath U3 ugldqpog; \??\C:\Users\LADYCS~1\AppData\Local\Temp\ugldqpog.sys [X] Task: {A15B77D7-62B8-48E0-958A-6ECE31CFEC59} - System32\Tasks\3a6y8r7 => Rundll32.exe "C:\ProgramData\3a6y8r7\3a6y8r7.dll",ayreb Task: {D86D4A8E-5D42-4A21-BFEC-02D7B78E3B6A} - System32\Tasks\26g79q14j21 => Rundll32.exe "C:\ProgramData\26g79q14j21\26g79q14j21.dll",gqjiez C:\ProgramData\3a6y8r7 C:\ProgramData\26g79q14j21 WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\ladycstar\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ladycstar\AppData\Local\Mozilla C:\Users\ladycstar\AppData\Roaming\Mozilla C:\Users\ladycstar\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Zapomniałbym: narzędzia używane do generacji raportów możesz skasować - KLIK. Kończymy.

Prosiłem tylko o przeprowadzenia skanowania, a nie dezynfekcji w programie AdwCleaner. To dobre narzędzie, ale trzeba z nim uważać. Niech już będzie. Generalnie wygląda to już o wiele lepiej, teraz poproszę o przeprowadzenie całościowego skanowania systemu za pomocą narzędzia Malwarebytes AntiMalware (widzę tutaj elementy infekcji BRONTOK). Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport.

Powtórz działanie jeszcze raz, tym razem całkowicie wyłącz oprogramowanie AVG (to fałszywy alarm).

Wszystkie wyniki nadają się do kasacji. Podsumuj obecny stan systemu.

W raportach brak oznak infekcji, problem spowodowany jest prawdopodobnie ostatnimi wydarzeniami (czytaj dół posta). Forma przeszła jest nieadekwatna. Yahoo ma nadal poważne problemy z bezpieczeństwem kont użytkowników (i to nie jest pierwsza taka sytuacja w ich historii). Wyciekło przeszło miliard danych kont - to największa taka kradzież w historii (KLIK). Stanowczo sugeruję kompleksową kasacja konta usług Yahoo i założenie sobie poczty gdzie indziej. Polecam rozwiązanie Gmail. Znajomym poleć to samo, ewentualnie "każ" im zablokować otrzymywanie wiadomości od owego adresu. P.S: Skasuj: C:\ProgramData\fontcacheev1.dat

Rozumiem, ale raport Windows Defender masz na pewno w zakładce Historia. 1. W HitmanPro usuwasz wszystkie detekcje (z wyjątkiem FRST, więc pomijasz całą sekcje Suspicious files). Raportu z dezynfekcji dostarczać nie musisz. 2. Sprawdź poniższe pliki w usłudze VirusTotal.com i dostarcz link prowadzący do analizy. C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\SECOH-QAD.dll 3. Poobserwuj czy komunikaty wyskakują nadal