Miszel03

OK, jeśli będzie występował na dal to temat przeniosę do działu Sieci.

Korzystasz z oprogramowania SpyHunter, a to delikatnie mówiąc program o bardzo wątpliwej reputacji. Cytuję z tematu picasso: Jeśli Ty zechcesz się go pozbyć to odinstalujesz go z poziomu panelu sterowania (jeśli będę problemy, a mogą być bo instalacja wygląda na uszkodzoną to zastosujesz program SpyHunterCleaner). Żeby było jasne: to Twoja decyzja, ja nic nie sugeruję. System jest zainfekowany przez nowoczesne (jak i nie) adware. Widzę również elementy infekcji BRONTOK. Od razu przechodzimy do działań. 1. Wejdź do poniżej wymiennych katalogów i spróbuj z ich poziomu uruchomić deinstalator (pliku uninstall.exe). C:\Program Files (x86)\UCBrowser C:\Program Files\żěŃą 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellExecuteHooks: Brak nazwy - {C5E9BD50-D3FB-11E6-9B39-64006A5CFC35} - C:\Users\Pryta\AppData\Roaming\Jaesywacuk\Ratether.dll -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku BootExecute: autocheck autochk * sh4native Sh4Removal GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X] S4 MSSQLServerADHelper; "C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] U0 aswVmm; Brak ImagePath S2 ATE_PROCMON; \??\C:\Program Files (x86)\Anti Trojan Elite\ATEPMon.sys [X] S0 b06bdrv; System32\drivers\bxvbda.sys [X] U3 idsvc; Brak ImagePath 2017-01-13 16:14 - 2017-01-13 16:14 - 0140288 _____ () C:\Users\Pryta\AppData\Roaming\Installer.dat 2017-01-13 16:15 - 2017-01-13 16:15 - 0018432 _____ () C:\Users\Pryta\AppData\Roaming\Main.dat Task: {158FAEEE-3658-4E40-89DB-EBB39C21513B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {4031543A-16BF-4565-932A-42347CA60E66} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {48E12151-4E60-47CE-9764-351965FFD1B1} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {5726270D-24B0-4EB7-8234-FDC5DA049DD7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {60247F35-FA52-4E85-BEFE-E7BF4696908B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {7656A53C-9444-40F1-B721-9E8F481A5140} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {9075CEED-D6EC-4473-A438-45165AA3B4E6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {91D85B07-ED99-43A4-8784-6360ACDAE4A6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {95915DCA-D28E-4F09-BAC9-BBA12C283471} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {9A07D37A-3BEF-4687-A824-2C314BBFADD8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {AF468194-9394-455D-B97E-56E6C88B03C5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {B9345462-2825-4EF3-805C-18B53E804B87} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BB10524F-1AD5-4B75-8142-B23834CF447C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {C7BC5D33-2389-48AD-A657-85A3E6426143} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D980B7EA-DC49-4E88-BA51-92D884221E14} - System32\Tasks\PrytaPauperismDenaturationV2 => Rundll32.exe OstentationPyrethrin.dll,main 7 1 Task: {F3497017-D3AA-429D-971E-E7F04D1C3238} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\AirMirror (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=macmgoeeggnlnmpiojbcniblabkdjphe ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Cut the Rope (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=jfbadlndcminbkfojhlimnkgaackjmdo ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=knipolnnllmklapflnccelgolnpehhpl ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Piotrek18 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Piotrek - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\SpyHunter4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\Óäŕëčňü SpyHunter4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2005\Configuration Tools\SQL Server Error and Usage Reporting.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2005\Configuration Tools\SQL Server Surface Area Configuration.lnk C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Program Files (x86)\UCBrowser C:\Program Files\żěŃą EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Profil w przeglądarce Google Chrome ChromeDefaultData jest zidentyfikowany już od dawna jako prefabrykowana modyfikacja adware. Działania: kasacja profilu, założenie czystego. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. 4. Zrób raport z narzędzia AdwCleaner z opcji Skanuj (chcę sprawdzić czy na pewno już nic nie widzi). Dostarcz ten raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, w spoilerze głównie sprzątanie resztek po adware / PUP.

Wszystkie (a to dziwne, bo przecież AdwCleaner je wywalił).

HitmanPro nie wykrył żadnej infekcji, w FRST również (jak już wcześniej wspomniałem) żadnej nie widzę. Nie mam pomysłu na to spróbuj zresetować router i poobserwuj.

Wszystko wygląda już o wiele lepiej. Co do incydentu z pocztą to dobrze, że o tym napisałeś - sprawdzę to. 1. Skasuj: C:\Users\Gosia\AppData\Roaming\KuaiZip 2. Przeskanuj całościowo system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Zagrożenia, które zostały wykryte przez Windows Defender usuń. Po tym działaniu dostarcz screen z zakładki Historia (z widokiem na ścieżki zagrożeń). Dostarcz również raporty ze skanowania programami Malwarebytes oraz AdwCleaner (narzędzie TDSSKiller użyte bezpodstawnie, bo przecież tutaj nie ma żadnej infekcji rootkit). W systemie faktycznie widoczne infekcje, bez zwlekania przechodzimy do działań. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nhook.exe U3 idsvc; Brak ImagePath S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] S2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-06-03] () [brak podpisu cyfrowego] 2016-07-09 10:43 - 2016-07-09 10:43 - 6870016 _____ () C:\Users\Xantyr\AppData\Roaming\agent.dat 2016-07-09 10:43 - 2016-07-09 10:43 - 0128512 _____ () C:\Users\Xantyr\AppData\Roaming\Installer.dat 2016-07-09 10:43 - 2016-07-09 10:43 - 0018432 _____ () C:\Users\Xantyr\AppData\Roaming\Main.dat C:\Windows\Tasks\{2E72A83C-59C0-E2BC-FD74-11C89002AE7F}.job Task: {2ACEFA9A-4C53-43F0-A9CA-9CCBD2A04D74} - \AutoPico Daily Restart -> Brak pliku Task: {306B8F2A-7AC7-4824-9D7D-95F01617651F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {401F9A89-2B52-48DD-8130-0D5ADD372AD3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {4F62D0A4-811C-4219-8149-B86A0CC0784E} - System32\Tasks\{2E72A83C-59C0-E2BC-FD74-11C89002AE7F} => C:\Users\Xantyr\AppData\Roaming\{2E72A~1\PRICEF~1.EXE Task: {52985967-A27A-4ABC-8FCB-F5BDA1819A91} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {5C476A51-9814-472F-BFBA-4E989655883C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {A1FC7072-9562-42B0-9309-5F050799CDB0} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {BFE1742A-A34A-4FDE-831E-C0F3B930E6CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D9BA2E95-CBA9-43DB-AB47-23FCEF85F444} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {DD5C6861-9413-44C4-BE16-AECD6D731810} - System32\Tasks\XantyrBicepsHymnedV2 => Rundll32.exe ScuttledIrrigating.dll,main 7 1 Task: {DE51687B-57F5-4C5C-A22E-515A9127D979} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {EA072DB7-1184-4A9C-9425-FEC7F618D78C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku FirewallRules: [{517819FA-5458-4513-940B-2B6B8F64D707}] => C:\Windows\KMS-R@1n.exe FirewallRules: [{1857A4D9-7D98-4161-94B5-1633353533FE}] => C:\Windows\KMS-R@1n.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk C:\Users\Xantyr\Desktop\Nowy folder\JDownloader 2.lnk C:\Users\Xantyr\Desktop\Nowy folder\LOL Recorder.lnk C:\Users\Xantyr\Desktop\Nowy folder\rafon — skrót.lnk C:\Users\Xantyr\Desktop\Nowy folder\Terraria.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeprowadź skanowanie za pomocą programu HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, w spoilerze poprawki.

W raportach brak oznak infekcji, system jest w dobrej kondycji. Występowanie reklam w tej dobie internetu jest niestety, zwykłą codziennością, coraz trudniej to w całości blokować. W przeglądarkach proponuje zmienić bloker reklam z AdBlock na uBlock Origin, ten drugi jest wg mnie znacznie lepszy.

Nie dołączyłeś raportu wynikowego ze skanu AdwCleaner (patrz pkt. 2 mojego pierwszego posta).

OK.

1. Przeprowadź jeszcze raz skanowanie w programie AdwCleaner, ale po nim wybierz opcję Oczyść. Dostarcz raport z tego działania. 2. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{A0CDF8C2-1F24-48E7-999B-BE0B389EC666}: [NameServer] 188.120.241.135,8.8.8.8 NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {20B3B3F3-AEF9-4A29-BC0A-6D80579DEE45} - System32\Tasks\Havuphatecercult Verfier => C:\Program Files (x86)\Clutiph\befeck.exe C:\Program Files (x86)\Clutiph CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK, mapa domem wywalona, więc będziemy kończyć. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz wyczyść punkty przywracania systemu (aby przez przypadek nie odtworzyć szkodnika) - KLIK / KLIK.

Wyniki z MBAM to "witaminki" adware / PUP. Do kasacji. W raportach brak oznak infekcji, w spoilerze działania poboczne. Temat przenoszę do działu Windows 10.

W raportach widać elementy adware / PUP. Jest również znany Ci już wpis uruchamiający zodiacgameinfo. Widzę tutaj również szczątki po oprogramowaniu SpyHunter, które nie cieszy się dobrą opinią (patrz w spoiler). Jeśli Ty chcesz je usunąć to zastosuj SpyHunterCleaner. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-985698470-1170973968-2176422106-1000\...\Run: [AAA] => explorer.exe hxxp://kb-ribaki.org GroupPolicy: Ograniczenia S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\WINDOWS\TEMP\GPUZ.sys [X] R4 IOMap; \??\C:\WINDOWS\system32\drivers\IOMap64.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] U3 uxtyapow; \??\C:\Users\AAA\AppData\Local\Temp\uxtyapow.sys [X] Task: {04C7EAE8-E651-4E85-BB8F-57F5AA87FE1A} - \AutoPico Daily Restart -> Brak pliku Task: {D2626EE1-A826-45C5-BE62-9194A309CD48} - System32\Tasks\AAA => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v AAA /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Intel® Small Business Advantage\Intel® Small Business Advantage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Ad. 1 Widzę, że przeprowadziłeś tylko skanowanie w AdwCleaner, a miałeś również wykonać dezynfekcję (patrz jeszcze raz pkt. 1 mojego ostatniego postu). Wykonaj to i dostarcz raport. Po tej dezynfekcji dostarcz nowy raport Addition. Ad. 2 OK. Możesz zacząć ostrożnie* korzystać z płatności online na tym urządzeniu. *za każdym razem sprawdzasz numer konta i kwotę, jeśli cokolwiek się nie zgadza to wracasz do nas.

Dziękujemy!

W takim razie wywalam te serwery proxy. Poprawki: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} ProxyServer: [s-1-5-21-721309439-3976775549-3943258617-500] => http=127.0.0.1:8080;https=127.0.0.1:8080 RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz już dostarczać żadnych raportów, podsumuj obecną sytuację.

OK, ale czekam jeszcze na odpowiedz dot. rosyjskich adresów na routerze. Idziemy dalej: Powtórz operację z AdwCleaner, ale po opcji Skanuj zastosuj opcję Oczyść. Dostarcz raport z powyższego działania i zrób nowy zestaw logów FRST.

W HitmanPro usuń wszystkie detekcje z sekcji Cokkies oraz Potential Unwanted Programs, czyli zostawiasz tylko sekcje Suspicious Files. Komentując resztę to wygląda to już w porządku, prócz siedzącej dalej (usuwanie powiodło się, ale nie widać efektów) szkodliwej mapy domen, w przeglądarce IE. 1. Pobierz AdwCleaner uruchom go i kliknij szukaj, a gdy uaktywni się przycisk Usuń rozwiń pasek Opcje i zaznacz Resetuj zasady IE, po czym kliknij Oczyść. Dostarcz raport z działania AdwCleanera (znajduję się w lokalizacji C:\AdwCleaner) oraz zrób nowe raport FRST (bez Shortcut). 2. Wykonaj test na obecność szkodnika VbKlip / Banatrix. Otwórz Notatnik i przyklej do niego poniższy 26 cyfrowy przykład numeru konta. 11101010101010101010101010 Sprawdź czy nie został podmieniony na inny. Poinformuj mnie o wyniku testu.

Na pasku narzędzi wybierz Plik, a z niego pozycję Odinstaluj. Po tym pobierz narzędzie na nowo i wykonaj czynności z pkt. 3 (p.s ma być Skanuj, po prostu odnoszę się do starego nazewnictwa opcji w tym programie). Oczywiście, po tym przechodzisz do następnych punktów.

W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne |(są często aktualizowane, więc jednorazowe) oraz wyczyść punkty przywracania systemu (aby przypadkiem nie odtworzyć szkodnika z kopii) - KLIK / KLIK.

W systemie niewątpliwie widać infekcje, które wydają się łatwe do wyleczenia. Komentując zaś wynik z MBAM to praktycznie nic nie wykryto, jakieś "witaminki" z pamięci podręcznej związane z PUP.Optional.Yontoo. Oprócz oczywistych detekcji, to wygląda mi na infekcje: Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ClWindows Media Centerert.vbs [2017-01-02] () InternetURL: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Center.URL -> URL: file:///C:/Users/Tommy/AppData/Roaming/Climfhkkt.exe Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Centerts.js [2017-01-02] () ponieważ data utworzenia, sama nazwa, możliwość otworzenia pliku w przeglądarce, rozszerzenia oraz występowanie w tym miejscu w raportach wygląda bardzo podejrzanie. Jeśli Ty byś to kojarzył to mi powiedz i nie wykonuj poniższych zadań. 1. Spróbuj uruchomić ten deinstalator: C:\Program Files\easyMule\Uninstall.exe 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKU\S-1-5-21-365035492-1695249228-1794944439-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-365035492-1695249228-1794944439-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 IFEO\addrbook.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brctrcen.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brinstck.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brmfcwnd.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brolink0.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brscutil.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\driverbooster.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\pcfxset.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\unins000.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmnetcfg.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmplayer.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmware.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ClWindows Media Centerert.vbs [2017-01-02] () InternetURL: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Center.URL -> URL: file:///C:/Users/Tommy/AppData/Roaming/Climfhkkt.exe Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Centerts.js [2017-01-02] () GroupPolicy\User: Restriction ? GroupPolicyUsers\S-1-5-21-365035492-1695249228-1794944439-1006\User: Restriction GroupPolicyUsers\S-1-5-21-365035492-1695249228-1794944439-1005\User: Restriction HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2013-04-10] S1 A2DDA; \??\C:\EEK\RUN\a2ddax86.sys [X] S3 cleanhlp; \??\C:\EEK\Run\cleanhlp32.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] Task: {6B40D41A-9031-4040-BADE-7D61D426ABDA} - System32\Tasks\{4BF10F89-DE1C-4FC6-A245-D6398973D473} => pcalua.exe -a "C:\Program Files\easyMule\Uninstall.exe" -d C:\Users\Tommy\AppData\Local\Temp\easymule AlternateDataStreams: C:\ProgramData\Temp:2B11E0DF [236] AlternateDataStreams: C:\ProgramData\Temp:A73B0434 [109] AlternateDataStreams: C:\ProgramData\Temp:CB0AACC9 [124] C:\Users\Tommy\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.coupontime00.coupontime.co_0.localstorage C:\Users\Tommy\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.coupontime00.coupontime.co_0.localstorage-journal EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Wyczyść przeglądarkę FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Przeskanuj system za pomocą programu HitmanPro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Znalazł je w kwarantannie KVRT, więc były już unieszkodliwione.