Miszel03

Skoro zwartość pendrive masz na komputerze, to najlepszym wyjściem będzie jakiego kompleksowe sformatowanie. W tym systemie / raportach widać głównie infekcje adware, ale jest również szkodnik Trojan:VBS/Kalhine.A (KLIK) i to prawdopodobne jest winowajca problemów z pendrive. 1. Przez panel sterowania odinstaluj: Adware / PUP: Ringtones Maker Packages Zbędniki: Akamai NetSession Interface 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" HKU\S-1-5-21-1190775597-3038459951-4028443085-1000\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" Startup: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-1190775597-3038459951-4028443085-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = Toolbar: HKU\S-1-5-21-1190775597-3038459951-4028443085-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CHR HomePage: Default -> hxxp://search.babylon.com/?affID=110825&tt=5212_8&babsrc=HP_ss&mntrId=7c4e86d40000000000008ca98206ecfd CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=110825&tt=5212_8&babsrc=HP_ss&mntrId=7c4e86d40000000000008ca98206ecfd","hxxp://search.babylon.com/?affID=110825&tt=5212_1&babsrc=HP_ss&mntrId=7c4e86d40000000000008ca98206ecfd" S3 dbx; system32\DRIVERS\dbx.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\BatteryCare\WinRing0x64.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Dołącz również zestaw obowiązkowych raportów z następnego komputera.

W raportach brak oznak infekcji. Komentując zaś sam wynik z GMER punktujący niesprecyzowany ukryty proces (GMER niestety obcina dane), to nie jest wiadome czy to prawdziwy rootkit. Wg mnie to raczej fałszywy wynik i nie należny się nic przejmować (+ gdyby infekcja rootkit faktycznie była raczej widział bym jej oznaki z raportach, a już na pewno wykryły by ją użyte przez Ciebie skanery) .

Przywrócimy fabryczny stan klucza SafeBoot wykorzystując gotowiec od Kasperskiego (nie mam w swojej bazie wyglądu tego klucza w Windows Vista). Widoczne tutaj problemy sugeruję obecność jakiejś infekcji w przeszłości, strzelam: Sality czy Bagle, a może rootkit ZeroAcces? 1. Otwórz Notatnik w nim wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}] @="Universal Serial Bus controllers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}] @="CD-ROM Drive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}] @="Standard floppy disk controller" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}] @="PCMCIA Adapters" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}] @="SCSIAdapter" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}] @="Floppy disk drive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}] @="IEEE 1394 Bus host controllers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}] @="Human Interface Devices" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}] @="SBP2 IEEE 1394 Devices" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}] @="SecurityDevices" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppInfo] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BFE] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bowser] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dfsc] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dot3Svc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Eaphost] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\IKEEXT] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\KeyIso] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MPSDrv] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MPSSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mrxsmb] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mrxsmb10] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mrxsmb20] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NativeWifiP] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\netprofm] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NlaSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Nsi] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nsiproxy.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NTDS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PolicyAgent] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ProfSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdbss] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpencdd.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCardSvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SWPRV] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TabletInputService] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TBS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TrustedInstaller] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\volmgr.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\volmgrx.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wlansvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}] @="Universal Serial Bus controllers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}] @="CD-ROM Drive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}] @="Standard floppy disk controller" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}] @="Net" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}] @="NetClient" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}] @="NetService" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}] @="NetTrans" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}] @="PCMCIA Adapters" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}] @="SCSIAdapter" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}] @="Floppy disk drive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{50DD5230-BA8A-11D1-BF5D-0000F805F530}] @="Smart card readers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}] @="IEEE 1394 Bus host controllers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}] @="Human Interface Devices" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}] @="SBP2 IEEE 1394 Devices" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}] @="SecurityDevices" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal. Zresetuj system. 2. Sprawdź czy Tryb Awaryjny działa.

W takim razie potraktuj wszystkie partycje, urządzenia przenoście (do wyboru w opcjach) narzędziem KVRT. Jeśli chodzi o telefon to nie mógł on zostać zainfekowany.

W raportach brak oznak infekcji, aby uniknąć podobnych sytuacji w przyszłości zainstaluj bloker reklam - KLIK (patrz sekcja blokowanie reklam przy użyciu rozszerzenia do przeglądarki).

HitmanPro wykrył: pup (resztki adware), ciasteczka z przeglądarki oraz rzekomo podejrzany program FRST. To oczywiście fałszywy alarm. Oprócz tych wszystkich raportów prosiłem również o analizę urządzenia E:\ (czyli tego zarażonego, wg GDATA) pendrive. Poprawki: 1. Otwórz Notatnik w nim wklej. CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X] FirewallRules: [{76CDBCB7-7202-4C0B-B9D5-240770F839DB}] => C:\Program Files (x86)\Popcorn Time\Updater.exe FirewallRules: [{87FFF6C6-B0C7-496A-B7E9-6FC1642D34E5}] => C:\Program Files (x86)\Popcorn Time\Updater.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie dostarczaj z tego żadnych raportów. 2. Zrób raport z Farbar Service Scanner.

W raportach widać aktywne adware oraz już takie, które musiało zostać usuniętę wcześniej. Akcja. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM\...\Providers\tvuf9a0e: C:\Program Files (x86)\Curoydrerguse Log\local64spl.dll [292352 2016-12-30] () C:\Program Files (x86)\Curoydrerguse Log ShellExecuteHooks: Brak nazwy - {9C8A04D0-CAA5-11E6-96ED-64006A5CFC23} - -> Brak pliku GroupPolicy: Ograniczenia - Chrome BHO: Jidd -> {9211B66D-AA1B-4BD0-bF35-65E6C6E5F23F} -> Brak pliku BHO-x32: Jidd -> {9211B66D-AA1B-4BD0-bF35-65E6C6E5F23F} -> Brak pliku Toolbar: HKU\S-1-5-21-1411627303-691169763-3188944280-1000 -> Brak nazwy - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - Brak pliku S2 Cegoe; "C:\Users\HP\AppData\Roaming\Xeeedxi\Xeeedxi.exe" -cms [X] S2 Ilaaugca; "C:\Users\HP\AppData\Roaming\JucdiJhnoz\Rawei.exe" -cms [X] S2 KarxMhfonki; "C:\Program Files\Jidd\KarxMhfonki.exe" [X] S1 webhzmhh; \??\C:\Windows\system32\drivers\webhzmhh.sys [X] C:\ProgramData\igfxDH.dll Task: {1BE436F8-FB60-4A40-B012-7AC746705F61} - \Microsoft\Windows\Media Center\UpdateRecordPath -> Brak pliku Task: {3099723F-3394-41EF-87DE-7E7B04DD61F1} - \Microsoft\Windows\Media Center\InstallPlayReady -> Brak pliku Task: {3997F149-23A2-40A2-AC75-9EEE116D6B40} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> Brak pliku Task: {4BC47ABA-902E-4412-979E-F4F0182697A7} - \Microsoft\Windows\Media Center\mcupdate -> Brak pliku Task: {4BEAE93B-37E1-4708-BB8A-7BDA2CE2D699} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku Task: {59FF2269-CCBE-4DC9-9CD2-46CFE1A40E7E} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> Brak pliku Task: {5D70E0C1-B7B7-49CD-AA32-638F4564CD33} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> Brak pliku Task: {5D763B1E-F3A4-45FD-8599-1FD517299D85} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> Brak pliku Task: {67B15243-36F1-4490-A82D-8D665B203F99} - \Microsoft\Windows\Media Center\RegisterSearch -> Brak pliku Task: {7E843BD9-8997-4487-BFFA-3F41CD0B40A6} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Brak pliku Task: {86B82FEE-5137-46F8-9715-AE0F2537347A} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku Task: {9F940857-E05D-4200-818E-39B54CB5D928} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> Brak pliku Task: {A9140D5E-8C31-43CA-88E9-13DEF1381D42} - \Microsoft\Windows\Media Center\RecordingRestart -> Brak pliku Task: {A9FCCEB9-5E17-4EA4-BFB4-5CA11425FC96} - \Microsoft\Windows\Media Center\OCURActivate -> Brak pliku Task: {B7CA392C-2166-4C3F-8505-01FE9CB3D9D8} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> Brak pliku Task: {BCFD55EC-7D7D-4576-92B2-E8F90DAC4593} - \Microsoft\Windows\Media Center\ehDRMInit -> Brak pliku Task: {D087FE87-1F19-48AA-9D4A-D1F766F0384D} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Brak pliku Task: {DE3C3E70-A38F-47C1-A78C-764BAD6F6640} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> Brak pliku Task: {E0D4917A-2CCB-469B-91F5-8397722DF4D9} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Brak pliku Task: {FDB46B28-B730-470E-B530-6B3BE381FB75} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Brak pliku Task: {FF3F9ECF-3E27-4F4F-AC1A-4CF9E716ABC0} - \Microsoft\Windows\Media Center\PBDADiscovery -> Brak pliku DeleteKey: HKU\.DEFAULT\Software\jhtrsq DeleteKey: HKU\S-1-5-18\Software\jhtrsq DeleteKey: HKLM\SOFTWARE\jhtrsq Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, a wyniki znalezione przez Malwarebytes to błache sprawy. W spolerze drobne działania kosmetyczne: kasacja pustych wpisów oraz skrótów LNK oraz szczątek po programach (głownie po przeglądarce FireFox). Temat przenoszę do działu Windows 7.

OK.

To nie problem na miarę tego działu (nie jest infekcyjny), więc temat przenoszę do działu Windows 10. Wiem, że nie masz przecież sprawdzałem Twój system pod kątem infekcji.

W raportach brak oznak infekcji, w spoilerze działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, skrótów LNK, martwej usługi oraz polityk grup. Na przyszłość: narzędzie OTL jest już nie używane, bo nie posiada wsparcia autora, a samo stało się już przestarzałe, więc mało skuteczne jeśli chodzi o nowe infekcji (logi OTL z postu kasuje). Temat przenoszę do działu Windows 8.

W raportach widać komponenty adware (oraz martwy rosyjski adres na routerze), które będziemy tutaj głównie usuwać. W związku z pomocą pytanie: czy celowo używasz serwerów proxy? 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-721309439-3976775549-3943258617-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 SearchScopes: HKU\S-1-5-21-721309439-3976775549-3943258617-500 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = XBox; C:\Program Files (x86)\XBox\XBLive.exe [6342584 2016-06-13] (Microsoft Corporation) S4 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X] ShortcutWithArgument: C:\Users\Administrator\Desktop\Google Chrome.lnk -> C:\Users\Siegmund\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\dd96def58e3ad62f\Google Chrome.lnk -> C:\Users\Siegmund\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 C:\Users\Administrator\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Administrator\Desktop\Kontynuuj instalację RTL8139811x816x810x Series 6.41.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mount&Blade Warband.lnk C:\Users\Administrator\AppData\Local\Microsoft\Windows\GameExplorer\{D2C22152-248B-4A58-B017-0423EE6A4E35}\PlayTasks\0\Zagraj.lnk C:\Users\Administrator\AppData\Local\Microsoft\Windows\GameExplorer\{55685D5D-D80C-4803-BD2B-E35D5DB97B3E}\PlayTasks\0\Zagraj.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery\RAR Password Recovery Help.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery\RAR Password Recovery.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband\Mount&Blade Warband.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAX-FX Tools\ActorFX.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAX-FX Tools\MAX-FX Tools Help.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAX-FX Tools\MaxEd.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAX-FX Tools\ParticleFX.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Mapa.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Oblivion poradnik - Knights of the Nine.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Oblivion poradnik - Shivering Isles.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Oblivion poradnik cz. 1.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Oblivion poradnik cz. 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Oblivion poradnik cz. 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Wordpad.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{02F4060A-3BF1-4715-867C-6FBE8786013C}\PlayTasks\4\Program konfiguracyjny.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{02F4060A-3BF1-4715-867C-6FBE8786013C}\PlayTasks\3\Instrukcja do gry.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{02F4060A-3BF1-4715-867C-6FBE8786013C}\PlayTasks\2\CzytajTo.txt.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{02F4060A-3BF1-4715-867C-6FBE8786013C}\PlayTasks\1\Rejestruj.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{02F4060A-3BF1-4715-867C-6FBE8786013C}\PlayTasks\0\Graj.lnk C:\Users\Siegmund\Desktop\Call of Duty Multiplayer.lnk C:\Users\Siegmund\Desktop\LIMBO.lnk C:\Users\Siegmund\AppData\Local\Microsoft\Windows\GameExplorer\{DE57FC26-3ED5-4438-A017-8713F420F27B}\PlayTasks\0\Zagraj.lnk C:\Users\Siegmund\AppData\Local\Microsoft\Windows\GameExplorer\{DD5BFFE0-8591-4D29-BB25-46F4D732A86D}\PlayTasks\0\Zagraj.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK.

To najważniejsze, bo to moje główne zadanie, aby w tym dziale rozwiązywać problemy infekcyjne. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe, a teraz już niepotrzebne) - KLIK. Możesz już również skasować punkty przywracania systemu, aby w przeszłości nie odtworzyć kopi ze szkodnikiem - KLIK. Teraz pozostało wyjaśnić Ci nieszczęsny error, więc tak: Ukmedia ma związek z aktywatorem Windows, a ja kompletnie nie wiem jak Ty kombinowałeś z tym aktywatorem, co robiłeś / usuwałeś, więc nie jestem w sanie Ci w tym pomóc.

OK. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Możesz również skasować punkty przywracania systemu, aby nie przywrócić przypadkowo szkodnika - KLIK.

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów (w tym wpisów CLSID), martwych usług, pustych skrótów LNK oraz szczątek po programach (głównie po przeglądarce FireFox).

Do kasacji: PUP.Optional.OnlineIO, C:\PROGRAMDATA\Microleaves\Traffic Exchange, Brak akcji, [694], [335288],1.0.903 PUP.Optional.SpyHunter, C:\USERS\SCROP\DOWNLOADS\SH-REMOVER.EXE, Brak akcji, [1669], [331753],1.0.903 Z tym zrobisz co chcesz, bo chyba wiesz do czego to jest. Trojan.Boaxxe, C:\PROGRAM FILES (X86)\REMOVEWAT 2.2.7\WINDOWS_ACTIVATON.EXE, Brak akcji, [80], [357022],1.0.903 HackTool.WindowsActivation, C:\USERS\SCROP\DOWNLOADS\WIN7 ACTIVATOR V2.2.2 + WAT FIX.ZIP, Brak akcji, [11906], [153298],1.0.903 Podsumuj obecną sytuację.

Prosiłem tylko o raport z opcji Szukaj, a nie z opcji Szukaj i Oczyść. AdwCleaner to dobre narzędzie, ale trzeba z nim uważać. Niech już będzie. 1. Nie skasowałeś poniższego profilu, więc zrób to. C:\Users\Scrop\AppData\Local\Google\Chrome\User Data\ChromeDefaultData 2. Wykonaj pełne skanowanie programem Malwarebytes (masz zainstalowany) i dostarcz napisz co wykrył, niczego nie usuwając.

Nawet po reinstalacji występuję ten błąd? Na pasku AdwCleaner wybierz Plik następnej z rozwiniętego Menu kliknij w Odinstaluj i dopiero po tym działaniu pobierz AdwCleaner z podaj strony i przeprowadź pkt. 3.

Rozumiem, że skan był powtarzany do wyniku zero infekcji (tak jak prosiłem)? Jeśli tak to poproszę o podsumowanie sytuacji z Twojej strony. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000000 (0) A to nadal siedzi, u mnie w systemie klucz wygląda tak: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000001 (1) Poczekam z tym na picasso.

Tak jak myślałem, to dla mnie trochę czarna magia, więc ja tutaj na nic. Temat przenoszę do działu Windows 7, skąd najlepiej poczekasz na odpowiedź moderatora działu mgrzeg.

OK.

System jest zainfekowany infekcją automatycznie uruchamiającą się na starcie systemu (i to jest chyba powiązane z aktywatorem Windows), ponad to system boryka się z problem ataku nowoczesnego adware (wariant Adware.Elex) m.in modyfikującego usługę Themes dodając niedomyślne ustawienie DependOnService (i to przypuszczalnie wykryło narzędzie SFC), przez które nie działa Ci w ogóle usługa kompozycji Aero. Gdyby tego było mało to przeglądarka Google Chrome jest zarażona prefabrykowanym profilem adware, więc nic dziwnego, że występują przekierowywania. Odnosząc się do pytania o format to uważam, że jest on całkowicie zbędny, bo z aktualną wiedzą jestem w stanie to wszystko wyleczyć. Zaczynamy. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Winlogon\Notify\tukiloz-x32: C:\Users\Scrop\AppData\Local\tukiloz.dll [X] HKU\S-1-5-21-2482533737-4085879092-1565963746-1000\...\Run: [YPRPack] => regsvr32.exe C:\Users\Scrop\AppData\Local\YPRPack\zxqtilzk.dll HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\Providers\tvuf9a0e: C:\Program Files (x86)\Curoydrerguse Log\local64spl.dll [292352 2016-12-30] () C:\Program Files (x86)\Curoydrerguse Log ShellExecuteHooks: Brak nazwy - {9C8A04D0-CAA5-11E6-96ED-64006A5CFC23} - -> Brak pliku R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [820224 2016-12-31] () [brak podpisu cyfrowego] S2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [X] S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {DFEEDDCE-338E-4D17-842C-96F1D9BB434E} - System32\Tasks\8n48o5q70422 => Rundll32.exe "C:\ProgramData\8n48o5q70422\8n48o5q70422.dll",noqlaf ShortcutWithArgument: C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Scrop\AppData\Local\Mozilla C:\Users\Scrop\AppData\Roaming\Mozilla C:\Users\Scrop\AppData\Roaming\Profiles Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Obecny profil przeglądarki Google Chrome jest prefabrykowany i wstawiony przez adware. Należy go całkowicie skasować i założyć nowy. Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Po utworzeniu nowego profilu / osoby, zaloguj się na niego > ponownie przechodzisz to karty Ustawień, następnie do Osoby i usuwasz wszystkie poprzednie osoby. 3. Ze względu na uszkodzony AdwCleaner pobierz nowy (KLIK) i zrób raport wykrytych zagrożeń z opcji Szukaj. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Przypuszczalnie narzędzie naprawy Windows znalazło uszkodzenie właśnie w usłudze Themes. Przypuszczalnie narzędzie naprawy Windows znalazło uszkodzenie właśnie w usłudze Themes.

Raporty zostały wygenerowane przy użyciu przestarzałej wersji FRST, bo z lipca 2016 roku. Wygeneruj nowe przy użyciu najnowszej wersji narzędzia - KLIK.

Dziękuję i wzajmenie! W raportach brak oznak infekcji, w spoilerze dziania poboczne, raczej nie mające związku z problemem. Temat przenoszę do działu Windows 10.