Miszel03

Malwarebytes posprzątał już większość, natomiast nadal siedzi podszywka przeglądarki Google Chrome. Liczbą w ogóle się nie przejmuj, bo MBAM znajdując folder infekcji liczy każdy plik z niej jako infekcja to pomyśl co by było gdy są np. zarażone ciasteczka. A jeśli chodzi o sposób zakażenia to ktoś coś musiał zrobić (choćby pobrać coś z dobrych programów). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: S2 Reopithejatain; C:\Program Files (x86)\Rotsychwopy\Atunoentrpr.dll [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] RemoveDirectory: C:\Program Files (x86)\Coldone HKU\S-1-5-21-2482533737-4085879092-1565963746-1000\...\ChromeHTML: -> "C:\Program Files (x86)\Coldone\Application\chrome.exe" "%1" C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw przeglądarkę Google Chrome jako domyślną 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). coldone Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Jak oceniasz obecną sytuację? Czy problem ustąpił?

OK.

Tak, komputer numer 3 jest czysty, a skoro piszesz, że na wszystkich komputer dezynfekcja się udała, to będziemy kończyć. Na wszystkich komputerach Usuń narzędzia diagnostyczno / dezynfekcyjne oraz zaktualizuj ważne programy - KLIK / KLIK. Wyczyść również punkty przywracania systemu (z nich można przez przypadek otworzyć szkodnika) - KLIK.

W raportach widoczne adware i własnie ono odpowiada za problemy z przeglądarką Google Chrome. Powiedz mi tylko jeszcze: czy Rosyjskie adresy ustawione na routerze są Twoim celowym ustawieniem? 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku S4 ProntSpooler; C:\Users\Gosia\AppData\Local\Apps\2.0\abril.exe [134656 2016-10-23] () [brak podpisu cyfrowego] R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) U0 aswVmm; Brak ImagePath S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] S2 ComputerZLock; \??\C:\Program Files (x86)\LdsLite\ComputerZLock_x64.sys [X] S1 itdrvr_vt_1_10_0_25; system32\drivers\itdrvr_vt_1_10_0_25.sys [X] WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\user0 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Gosia\AppData\Local\Mozilla C:\Users\Gosia\AppData\Roaming\Mozilla C:\Users\Gosia\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystkie wyniki z Malwarebytes do kasacji, choć ten poniższy element jest związany z lewym aktywatorem do pakietu Microsoft Word, a został oznaczony jako potworna infekcja szyfrująca dane Ransomware.Cerber - KLIK. Ransom.Cerber, C:\PROGRAM FILES (X86)\KMSPICO 10.0.6\01CBCAA0C4A1AB8923145543E2ED625E.EXE, Brak akcji, [10], [357273],1.0.948 Zapomniałem wcześniej się zapytać: czy są pliki z rozszerzeniem .cerber? Jeśli tak to nie jest ciekawie. CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1436210060&z=c8760eec810d9d1f9cb3977g0z3c0qfo7g6efeaq2g&from=2sq1&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL","hxxp://www.mystartsearch.com/?type=hp&ts=1436210090&z=a9cec4e634c170ba8a1e71eg3z6cdqao7g5e3e2b4b&from=slbnew&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL" To nadal siedzi, więc prawdopodobnie zostały zmodyfikowane preferencje Google Chrome. Szybciej będzie to przeinstalować niż czyścić ręcznie. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK Poniższy element to nowoczesne adware modyfikujące usługę Themes, ale to tylko szczątka. Czy działa Ci kompozycja Aero? Adware.Elex.SHHKRST, HKLM\SOFTWARE\CLASSES\CLSID\{5F51FFFE-7463-4220-B711-E5B9ACB8EDFE}, Brak akcji, [2215], [357968],1.0.948

A gdzie raport z Malwarebytes?

Przepraszam za późna odpowiedź. W raportach brak oznak infekcji, w spoilerze działania poboczne, kosmetyczne. W użytkowej przez Ciebie przeglądarce Opera nie widzę zainstalowanego żadnego blokera reklam, a bez niego to kompletnie nic dziwnego, że wyświetlają się takie reklamy. Polecam dodatek uBlock.

Rasnomware to rodzaj infekcji szyfrującej dane, więc pewnie byś to zauważył. W systemie widoczne infekcje, od razu przechodzimy do działań: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-4037366159-1690126974-2979737429-1001\...\Run: [udvmedia] => regsvr32.exe C:\Users\Piotrek\AppData\Local\Udvmedia\sgjdatcr.dll HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\Providers\hsch11h1: C:\Program Files (x86)\Sizayarigily Reports\local64spl.dll [292352 2017-01-05] () C:\Program Files (x86)\Sizayarigily Reports ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku ShellExecuteHooks: Brak nazwy - {05637422-CCFF-11E6-8821-64006A5CFC23} - C:\Users\Piotrek\AppData\Roaming\Shhoward\Arinuch.dll -> Brak pliku CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1436210060&z=c8760eec810d9d1f9cb3977g0z3c0qfo7g6efeaq2g&from=2sq1&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL","hxxp://www.mystartsearch.com/?type=hp&ts=1436210090&z=a9cec4e634c170ba8a1e71eg3z6cdqao7g5e3e2b4b&from=slbnew&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL" S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {0FE1ED1B-69E2-4468-B810-149DD172CEBF} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Brak pliku Task: {126C4780-EBC7-49B1-893D-1742D5D38AB4} - \Microsoft\Windows\Media Center\OCURActivate -> Brak pliku Task: {250DAB8A-C4AB-4637-AF79-5E31F0742D58} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Brak pliku Task: {29708982-A2F0-4510-AB6A-D38049B4160D} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Brak pliku Task: {2EE10851-C5AF-4494-A363-BFF8352AB54D} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> Brak pliku Task: {3727C66C-4574-4F83-A29E-04D7E6FF3DCA} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> Brak pliku Task: {3B7627C6-96FD-4C34-BC58-E700C27DB5EA} - \Microsoft\Windows\Media Center\RegisterSearch -> Brak pliku Task: {475E0A49-71E2-4C83-B8D3-DAC8ED30E79E} - \Microsoft\Windows\Media Center\InstallPlayReady -> Brak pliku Task: {478CC213-402C-4F66-B8C3-DEA3105E0BAF} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> Brak pliku Task: {5149EDB9-EC09-488F-8F75-4372BAA9EC1E} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Brak pliku Task: {5AD52747-84FF-43D1-A67A-717F19E378E7} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> Brak pliku Task: {65FC7088-6D38-436A-8DC9-21B33A18DDA8} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> Brak pliku Task: {68D333FA-5809-4857-98CD-1DCEAC974A0B} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku Task: {958537A2-C418-4719-A22B-27CE2E5B8BA4} - \Microsoft\Windows\Media Center\ehDRMInit -> Brak pliku Task: {B3D79C6E-7C69-46BC-BBD1-2AB8AE1C127B} - \Microsoft\Windows\Media Center\RecordingRestart -> Brak pliku Task: {CBFD96B7-13EA-4093-A432-60614D352D1D} - \Microsoft\Windows\Media Center\PBDADiscovery -> Brak pliku Task: {CC333C6D-2E01-4286-A5E0-7E44E4752588} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> Brak pliku Task: {CCF69E08-EB3D-4F38-94ED-2957C5B51ADE} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> Brak pliku Task: {DAA5F001-C040-4061-8FC1-289F8AC8E86E} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku Task: {E909D3B5-8E2A-4EC0-94E3-90890C904D7E} - \Microsoft\Windows\Media Center\mcupdate -> Brak pliku Task: {F178738A-A064-47C6-A983-960398FEB13C} - \Microsoft\Windows\Media Center\UpdateRecordPath -> Brak pliku ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotrek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotrek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ Hosts: EmptyTemp: 2. Przeskanuj całościowo system za pomocą programu Malwarebytes AntiMalware (masz go już zainstalowanego na dysku). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Właściwie to wszystko masz podane jak na tacy - Lista darmowych i komercyjnych programów zabezpieczających.

W raportach nie widzę infekcji, ale w takim przypadku to nic dziwnego, że nie widzę. Sprawdziłem te dwa adresy, z którymi łączył się Twój system. Jeden jest mi nieznany (KLIK), zaś drugi wygląda na usługę CloudFlare, czyli nieszkodliwą (KLIK). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoWinKeys] 1 S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {9C65CD00-93CB-41E1-BB75-C3593E50D123} - \Program aktualizacji online firmy InstallShield Software. -> Brak pliku C:\Users\Kamas\Desktop\Zapasowy (F).lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeprowadź skanowanie systemu za pomocą programu HitmanPro (silnik Kasperskiego i BitDefendera). Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja odpadkowych wpisów adware oraz programów. Temat przenoszę do działu Windows 8.

Wyniki zweryfikowane. W AdwCleaner przeprowadź jeszcze raz skanowanie z opcji Szukaj, ale po niej użyj opcji Oczyść. Dostarcz raport z tego działania oraz nowe raporty FRST, z tym, że użyj najnowszej wersji: KLIK. P.S: Nie odpowiedziałeś na moje pytanie:

KOMPUTER 1: Komentując wyniki z HitmanPro, do kasacji: C:\Users\Marcin\Desktop\MARCIN\Programy\codec_pack_214302_ff.exe C:\Users\Marcin\Desktop\MARCIN\Programy\LUMION5.0\LUMION5.0\lumion.5.pro-patch.exe HKU\S-1-5-21-2793137438-1847085760-1212310075-1000\Software\Softonic\ (Softonic) Generalnie wygląda to już w porządku, Podsumuj te dwa komputery i dodaj zestaw raportów z trzeciego komputera.

OK. Oprócz tego z czym czekam na pisacco, to już nic.

Gedo Sam Windows Defender na systemie Windows 7 może być lekko mówiąc niewystarczający, więc zainstalowany Avast jest dobrym rozwiązaniem. P.S W systemie Norton'a praktycznie nie ma. Zostały po nim tylko szczątki. ayla W raportach brak oznak infekcji, spoilerze działania poboczne, kosmetyczne.

W takim razie ze strony tego działu kończymy. Temat przenoszę do działu Hardware. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK. Nie zlecam kasacji punktów przywracania, bo mogą się awaryjnie przydać, ale jak już wszystko rozwiążesz to możesz je również skasować: KLIK.

To standardowe symptomy infekcji VBKlip / Banatrix, z tym, że trochę nie pasuję mi wygląd tej infekcji w logach (z reguły była uruchamiana poprzez harmonogram zadań). Stawiam, że poniższe pliki oraz wpisy w auto-uruchamianie należą właśnie do tej infekcji, więc je wywalam: Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat [2016-12-22] () Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat [2016-12-21] () C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat Szczerze powiedziawszy bardzo interesujący jest fakt, że użyte przez Ciebie 2 dobre skanery (SpyBot to przestarzały program, sugerowana deinstalacja) nadal to siedzi. Do mojego wyraźnego zezwolenia, nie wolno robić Ci na tym urządzeniu żadnych operacji związanymi z płatnością online. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat [2016-12-22] () Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat [2016-12-21] () C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat AppInit_DLLs: C:\Windows\system32\nvinitx.dll => Brak pliku SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U3 idsvc; Brak ImagePath Task: {0D83B61C-B076-48DF-96E3-31D49B14C899} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1C95882A-1D92-4744-8FB0-C19FA1E5F1B3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {1C95882A-1D92-4744-8FB0-C19FA1E5F1B3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5090963D-78FF-4D79-B841-7E0CDEDC16E6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {514F8650-03DE-4C21-82EA-B6725BA9A9F5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {5E6E6BC0-4514-41FB-B974-5F583C5ED6D2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {8701B720-AFFD-4CD8-8448-3E46B095E716} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {9D39B992-8C23-4C3B-8823-110A300ABD98} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {ACB3BDD0-6A5D-4A8E-9D48-7A33DEF88CE0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {BC15E50D-FEBB-4AB5-9AFF-8A6F9234CAC0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C398AE07-670E-47D6-A26D-C86E7C168E39} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {CA119C24-25C3-4D19-BE28-1539ED15E71E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku ShortcutWithArgument: C:\Users\Damian\Desktop\App Launcher for Messenger.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=bllmngcdibgbgjnginpehneeofhbmdjm ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\App Launcher for Messenger.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=bllmngcdibgbgjnginpehneeofhbmdjm ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome1.exe (Google Inc.) -> --profile-directory=Default --app-id=knipolnnllmklapflnccelgolnpehhpl DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Przeskanuj system za pomocą programu HitmanPro, jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

KOMPUTER 2: Wyniki z HitmanPro oprócz aplikacji FRST nadają się do kasacji. KOMPUTER 1: Też mi się tak wydaję, właśnie dlatego nie będę tego ruszał. OK, jak będziesz je wstawiał użyj opcji Edytuj w poście.

Nie wile mi to mówi, - opisz bardziej problemy z systemem. Możesz sobie odpuścić już ten raport, choć Rucek ma rację, że zgodnie z wymaganiami powinnaś go załączyć. Przeglądarka Google Chrome została zaatakowana przez adware wstawiające prefabrykowany profil / osobę, który jest skłonny wyświetlać niepożądane reklamy, strony itd. Oprócz tego nie widać innych oznak infekcji. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-887697183-1252705721-1128697598-1000\...\Run: [AdobeBridge] => [X] GroupPolicy\User: Ograniczenia - Chrome S2 ASPI32; Brak ImagePath S3 SwitchBoard; "C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [X] ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CS6.lnk C:\Users\fifa\Desktop\Hugo 8.lnk C:\Users\Mariolka\Links\Muzyka.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Mariolka\AppData\Local\Mozilla C:\Users\Mariolka\AppData\Roaming\Mozilla C:\Users\Mariolka\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Obecny profil / osoba w Google Chrome jest prefabrykowany(a) przez adware, więc nadający(a) się do kasacji. Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Po utworzeniu nowego profilu / osoby, zaloguj się na niego > ponownie przechodzisz to karty Ustawień, następnie do Osoby i usuwasz wszystkie poprzednie osoby. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. W AdwCleaner ponownie wybierz opcję Szukaj, a po jej wykonaniu wybierz opcję Oczyść. Nie musisz dostarczać już raportu z tego działania. 2. Na liście zainstalowanych programów nadal widzę Google Update Helper (DealPly) - czy na pewno zostało to odinstalowana? 3. Czy coś od strony infekcyjnej nie gra?

KOMPUTER 2 Proszę uważnie wykonywać moje zalecenia, bo np. w pkt 5 mojego pierwszego posta prosiłem tylko i wyłącznie o raport z opcji Szukaj, a nie z opcji Szukaj i Oczyść. Na szczęścicie wykryte elementy nadawały się do kasacji. Wygląda to już o wiele lepiej, teraz przeprowadź skanowanie przy pomocy narzędzia HitmanPro, jeśli coś wykryję to niczego nie usuwaj. Dostarcz z tego skanowania raport. KOMPUTER 1 Ten komputer również jest zainfekowany infekcją Trojan:VBS/Kalhine.A (KLIK). Komentując wyniki z Malwarebytes: to są tylko aktywatory cracków. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Marcin\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" HKU\S-1-5-21-2793137438-1847085760-1212310075-1000\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Marcin\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = Toolbar: HKU\S-1-5-21-2793137438-1847085760-1212310075-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą programu HitmanPro, jeśli coś wykryję to tak postąpisz tak ja w przypadku komputera numer 2. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Jeśli chodzie o te wpisy, to wcale nie jestem przekonany co do wpisuje sygnalizującym o braku ImagePath, więc w tej sprawie skonsultuje się z picasso. U3 BcmSqlStartupSvc; Brak ImagePath U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 iATAgentService; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 nvUpdatusService; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerService; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 RtLedService; Brak ImagePath U2 SeaPort; Brak ImagePath U2 SoftwareService; Brak ImagePath U3 SQLWriter; Brak ImagePath U2 Stereo Service; Brak ImagePath

System jest zainfekowany adware i to teraz staję się priorytetem. Druga sprawa: czy celowo używasz serwera proxy? 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.google.com" SearchScopes: HKLM -> DefaultScope - brak wartości BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S4 IntelIde; Brak ImagePath U1 WS2IFSL; Brak ImagePath C:\Documents and Settings\All Users\hash.dat Google Update Helper (Version: 1.3.23.0 - DealPly Technologies Ltd) Hidden Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez panel sterowania odinstaluj programy typu adware / PUP: Browser Configuration Utility Google Update Helper (DealPly) 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Pierwsze dwa zagrożenia (z pierwszego screena) to asystent pobierania dobrych programów, w którym siedzi adware - dlatego jest wykrywany. Trzeci wynik to też wykrycie adware / pup, więc to błacha sprawa.Drugi screen: to samo co w pierwszych trzech wynikach na pierwszym screenie, aczkolwiek tym razem siedzi to w punktach przywracania systemu.

Nie, pendriva masz podpiąć dopiero wtedy gdy będziesz go formatował. Tak, dane z pendriva zostaną bezpowrotnie (ale to chyba nie problem, skoro masz kopie tych danych) skasowane, przy czym również infekcja. Z początku w skrypcie (punkt 1) uwzględniłem usuwanie pustych skrótów od tego ArchiCAD, ale na wszelki wypadek je wywaliłem ze skryptu. Jeśli wszystko wykonasz wg powyższych zaleceń nie dojdzie do uszkodzenia, p.s zrób w miarę możliwości kopie tej pracy. W skrypcie z większych zmian to usuwam: HKLM\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" HKU\S-1-5-21-1190775597-3038459951-4028443085-1000\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" Startup: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () ...ale to ma związek z infekcją.