Miszel03

Dostarcz mi nowe raporty FRST.

Zi84 Zrób mi nowy zestaw raportów FRST. apostrofy Dziękuję za pomoc, masz rację podałem złą ścieżkę. Natomiast, następnym razem (zgodnie z regulaminem) poinformuj mnie o tym na PW, a ja na pewno wspomnę o Twojej uwadze w poście.

To nie ma ze sobą związku, zresztą po deinstalacji Google Chrome, AdwCleaner już niczego nie będzie wykrywał Widzę, że już założyłeś temat w dziale Windows 7, - a to odpowiedni dział to tego problemu. OK.

Problemy czysto infekcyjne załatwione, więc możemy iść dalej. Na razie pobór danych o stanie usługi Windows Defender w Twoim systemie. 1. Uruchom SystemLook i oknie programu wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum. 2. Zrób też raport z Farbar Service Scanner. Przeinstalujemy przeglądarkę na czysto (wszystkie dane związane z przeglądarką zostaną usunięte). Upewnij się, że synchronizacja jest wyłączona: KLIK. Przez panel sterowania odinstaluj przeglądarkę Mozilla FireFox (w trakcie deinstalacji zaznaczasz wszystkie opcje dot. usunięcia danych). Otwórz Notatnik w nim wklej: DeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\IZA\AppData\Local\Mozilla C:\Users\IZA\AppData\Roaming\Mozilla C:\Users\IZA\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie dostarczaj żadnych raportów z tego działania, sprawdź jak zachowuje się przeglądarka.

Przecież napisałem, że nie musisz dostarczać żadnych raportów i prosiłem również o podsumowanie sytuacji. Odpowiem na to pytanie za chwilę, bo jest niepriorytetowe.

W raportach brak oznak infekcji, więc problem z połączeniem internetowym jest pozainfekcyjny. Temat przenoszę do działu Sieci.

To zależy co usunąłeś w Malwarebytes. Na przyszłość: wykonuj tylko to co ja zleciłem w trakcie pomocy. To mogło przywrócić wszystko co do tej pory skorygowałem, więc jedziemy od nowa: poproszę nowe raporty FRST.

AdwCleaner już nic nie wykrył. Poprawki: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać już żadnych raportów. Podsumuj obecną sytuację. Ale następnym razem, gdy będziesz prosił o pomoc proszę to zrobić. Menu Start: wpisujesz nazwę danego programu > klik PPM na niego > usuń z listy.

Wyniki z AdwCleaner jadą do usunięcia, raporty wyglądają już OK. Uruchom AdwCleaner przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. Podsumuj obecną sytuację.

Atakuj do Windows 7 - tam też przenoszę Twój temat.

OK.

AdwCleaner nie może usunać modyfikacji preferencji w Google Chrome, robienie tego ręcznie przeze mnie zajmie więcej czasu niż przeinstalowanie przeglądarki na czysto. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTM Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Już niczym, HitmanPro zawiera w sobie silnik Kasperskiego oraz BitDefendera, a to zdecydowanie liderzy w zakresie wykrywania złośliwego oprogramowania.

W raportach brak oznak infekcji, a problem przez Ciebie opisany raczej ma podłoże kompletnie pozainfekcyjne. W spoilerze działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, martwych usług oraz niepotrzebnej mapy adresów w Internet Explorer.

Jak oceniasz obecną sytuację?

Cookie i Sweetpack do kasacji, a IThemes.dll do kwarantanny.

W HitmanPro poddaj kwarantannie wszystkie wykrycia z wyjątkiem poniższych: C:\Program Files\KMSpico\AutoPico.exe C:\Program Files\KMSpico\Service_KMS.exe C:\Users\Mateusz\Desktop\Logi\frst\nowe\FRST64.exe

W raportach brak oznak infekcji, miej na uwadze, że te reklamy mogę nie mieć podłoża infekcyjnego. Nawet u siebie pomimo zainstalowanych dwóch blokerów reklam, czasem mi wyskakują reklamy w osobnych oknach. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku GroupPolicyScripts: Ograniczenia U3 kwldapow; \??\C:\Users\user\AppData\Local\Temp\kwldapow.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).

Wygląda to już o wiele lepiej. Usługa Themes naprawiona, a adware usunięte. 1. Uruchom AdwCleaner i jeszcze raz przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 2. Zrób skan za pomocą Hitman Pro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport.

Są tylko szczątki po infekcjach, ale na wszelki wypadek przeprowadzimy skanowanie bardzo dobrym skanerem HitmanPro. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: C:\Users\User\Desktop\d7II HKU\S-1-5-19\...\Policies\Explorer: [NoViewContextMenu] 0 HKU\S-1-5-20\...\Policies\Explorer: [NoViewContextMenu] 0 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2674393007-2980067062-2201329540-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-2674393007-2980067062-2201329540-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 VGPU; System32\drivers\rdvgkmd.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log oraz plik Fixlog.txt. Zrób też nowy zestaw raportów. Jeśli nic nie zostanie wykryte to z mojej strony kończymy - zastosuj narzędzie DelFix, w celu usunięcia narzędzi diagnostyczno / dezynfekcyjnych.

Uruchomiony przez Mateusz (administrator) MATEUSZPC (28-12-2016 10:59:19) Wygeneruj nowe logi, nie dostarczaj starych.

W systemie niewątpliwe były infekcje, ale aktualnie zostały tylko po nich niemałe ślady. Jeśli chodzi o przeglądarkę FireFox to trochę ją odświeżymy, może to pomoże w jej ogólnym dzianiu. Ja w raportach widzę, że system jest zaktualizowany do Service Pack 2, więc raczej tak jest, choć czas aktualizacji faktycznie jest zastanawiający (no chyba, że została pobrana wcześniej, a teraz dopiero zainstalowana). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms} HKU\S-1-5-21-235788192-3075303823-229826334-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms} HKU\S-1-5-21-235788192-3075303823-229826334-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX HKU\S-1-5-21-235788192-3075303823-229826334-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-235788192-3075303823-229826334-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = R1 {2381c708-437b-40af-a3fc-1f3bd1d5172d}Gt; C:\Windows\System32\drivers\{2381c708-437b-40af-a3fc-1f3bd1d5172d}Gt.sys [55824 2015-07-24] (StdLib) U0 aswVmm; Brak ImagePath S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] U3 uwldrpow; \??\C:\Users\IZA\AppData\Local\Temp\uwldrpow.sys [X] HKU\S-1-5-21-235788192-3075303823-229826334-1000\...\ChromeHTML: -> Task: {05289A31-D33F-44CC-84CA-6C839D930747} - \ChronicBeats -> Brak pliku C:\Users\IZA\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Przepraszam za takie opóźnienia w odpowiedziach. System jest mocno zainfekowany przez nowoczesne adware (wariant Elex uszkadzający usługę Themes, więc przypuszczalnie nie działa Ci w ogóle usługa kompozycji Aero). Oprócz tego wiadomo adware podmieniające wyszukiwarkę na amisites oraz inne komponenty PUP. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} HKU\S-1-5-21-1394664871-1245148921-295335108-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 HKU\S-1-5-21-1394664871-1245148921-295335108-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 SearchScopes: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} SearchScopes: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} Edge HomeButtonPage: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 CHR HomePage: Default -> hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 CHR StartupUrls: Default -> "hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191" CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} CHR DefaultSearchKeyword: Default -> amisites S3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [877056 2016-12-28] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5] R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [788480 2016-12-27] () [brak podpisu cyfrowego] R2 Convxxxx; C:\Users\Mateusz\AppData\Roaming\behae\UvConverter.exe [393216 2016-12-27] (Copyright © 2016) [brak podpisu cyfrowego] C:\Program Files (x86)\WinArcher C:\Users\Mateusz\AppData\Roaming\behae C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1 (Debug Log).lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Mateusz\AppData\Local\Mozilla C:\Users\Mateusz\AppData\Roaming\Mozilla C:\Users\Mateusz\AppData\Roaming\Profiles Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Mateusz\AppData\Local CMD: dir /a C:\Users\Mateusz\AppData\LocalLow CMD: dir /a C:\Users\Mateusz\AppData\Roaming Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To się po prostu czasem zdarza, poza tym ja wywaliłem tylko modyfikacje polityk grup - a to nie mogła spowodować takiego efektu.

Teraz widać szkodliwe modyfikacje w preferencjach Google Chrome, ale to są naprawdę błache sprawy. Chrome pref Found: [C:\Users\kimi\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.oursurfing.com/?type=hp&ts=1441690998&z=f436e916e7cb9f8c8fe01f7g0z7zdgbq9t1e9tbt5m&from=amt&uid=WDCXWD3200A Chrome pref Found: [C:\Users\kimi\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.mysites123.com/?type=hp&ts=1455678212&z=ea190aba1d8b668d6551484g8zfw1wbq0mabdodg0o&from=amt&uid=st1000dm003 Chrome pref Found: [C:\Users\kimi\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.yoursearching.com/?type=hp&ts=1458399378&z=bd490dcc7c914d9aba4c393g7zbwcbdc6t1tec1m2b&from=itr&uid=st1000dm Można je wywalić ręcznie, ale to zdecydowanie więcej roboty niż przeinstalowanie przeglądarki na czysto. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Proszę pisz wolniej, a bardziej zrozumiale. Powiedz mi dlaczego sądzisz, że przeglądarki są zainfekowane i jakie są tego symptomy. Aktualnie wiem, że masz problem z playlistą oraz minimalizacją przeglądarek, ale to są problemy kompletnie pozainfekcyjne.

W raportach rzeczywiście widać szczątki po infekcji, która niewątpliwe tutaj gościła. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3193611003-341622343-3118953118-1001\...\Policies\Explorer: [NoInternetOpenWith] 1 HKLM\...\Providers\os9m9brr: C:\Program Files (x86)\Courkaripack Center\local64spl.dll C:\Program Files (x86)\Courkaripack Center IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe ShellExecuteHooks: Brak nazwy - {6034A99A-C6B5-11E6-9816-64006A5CFC23} - -> Brak pliku HKU\S-1-5-18\...\Run: [] => 0 HKU\S-1-5-21-3193611003-341622343-3118953118-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO-x32: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku U4 DiagTrack; Brak ImagePath HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\batfile: HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\.bat: batfile => HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\cmdfile: HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\.cmd: cmdfile => C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stardock\CursorFX.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Enhanced Mitigation Experience Toolkit\EMET User's Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\ALLPlayer.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.