Miszel03

Miło mi, że mogłem pomóc. Temat zamykam.

Jaki pojawia się komunikat podczas próby uruchomienia pliku wykonywalnego? Rozumiem, że z poziomu normalnego Windows nie możesz uruchomić Przywracania? W takim razie przejdź do Trybu awaryjnego, a następnie wybierz Napraw komputer. Potem kolejno wybierz język klawiatury (Polski, programisty) i zaloguj się na konto użytkownika. W załadowanym oknie skorzystaj z Przywracania systemu i wykonaj je do najnowszego dostępnego punktu przywracania. Jeśli jest tak jak mówisz - nie było włączonej funkcji Przywracania będziemy myśleć dalej.

Wszystkie zalecone akcje zostały pomyślnie wykonane. Infekcja usunięta. To detekcje PUP w stanie szczątkowym (pojedyncze klucze w rejestrze). Wykonaj skan ponownie i zastosuj akcję Usuń dla wszystkich wyników. Za pomocą kombinacji klawiszy SHIFT + DELETE (omijanie kosza) skasuj poniższe martwe skróty / lokalizacje (z tego co widzę gra Postal nie jest zainstalowana): C:\Users\Bartek\Desktop\Postal 2 PL.lnk C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Postal 2 PL Po tych akcjach, jeśli nadal będzie wszystko w porządku przejdź do finalizacji tematu. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

W raportach widoczna jest infekcja uruchamiana przez wiersz poleceń. Podobny temat z tą samą infekcją: KLIK. Przeprowadź następujące działania (dezynfekcja oraz czyszczenie szczątek po oprogramowaniu / martwych wpisów / lokalizacji tymczasowych (w tym czyszczenie kosza): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: AlternateDataStreams: C:\Users\Public\AppData:CSM [472] HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKU\S-1-5-21-1868502681-3022822754-2520019933-1001\...\MountPoints2: {c64b12cd-fc9d-11e7-9a64-0c5b8f279a64} - "E:\LG_PC_Programs.exe" HKU\S-1-5-21-1868502681-3022822754-2520019933-1001\...\Command Processor: @mode 15,1 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Admin\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Admin\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) C:\Users\Admin\AppData\Roaming\Microsoft\SoundMixer ShortcutTarget: System.lnk -> C:\appzip\windowsx10.exe (Brak pliku) Folder: C:\appzip Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie brakującym Shortcut. Dołącz też plik fixlog.txt.

Okej, mam instrukcję od Groszka, którymi zostanie sprawdzony dysk. Uruchom GSmartControl z poziomu WinRe, następnie wybierz dysk, zapisz log "save as" i wrzuć na jakiś hosting (np. na MediaFire).

Kluczową opinie wyda tutaj Groszek (moderator, o którym wspominałem wyżej) i cierpliwie poczekałbym na to. Na razie niestety brak dowodów na to, że zawiniła sfera oprogramowania, więc nie ma co decydować się na reinstalacje. Według mnie problem jest z dyskiem, który jest uszkodzony logicznie i niepoprawnie odczytuje dane (być może to niestabilne sektory).

Założyłeś dwa identyczne tematy - jeden z nich skasowałem, ten staje się wątkiem, w którym będzie prowadzona pomoc. Raport został wygenerowany z poziomu środowiska WinRe i to niestety uzasadnione użycie. System jest całkowicie uszkodzony (albo źle odczytywany), widoczna masa odczytów brakujących plików ładujących Windows. Problem wystąpił nagle, czy było coś ruszane w systemie od strony użytkownika? Kluczowe jest to czy masz tam ważne dane, bo jeśli dysk jest w rozsypce (a obstawiam taką postać rzeczy) to trzeba działać szybko i sprawnie, żeby je odzyskać. Nie wiem czy odpalanie z poziomu Linux będzie miało sens. Powiadomiłem moderatora działu Hardware, by spojrzał na to.

Rzeczywiście, najmocniej przepraszam za zamieszanie. Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne do wykonania. Temat przenoszę do działu Windows 7 gdzie będzie prowadzona dalsza pomoc. Spróbuj odinstalować swój program antywirusowy (BitDefender) i sprawdź rezultaty.

Wydaję mi się, że raporty zostały zmodyfikowane, prawda? Nazwy użytkowników są podmienione: -----> Załadowane profile: Kasia (Dostępne profile: Kasia & Gość) ...większość ścieżek wygląda tak: -----> C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk ...czyli odwołuje się do konta użytkownika, które nie istnieje. Proszę dostarczyć niemodyfikowany zestaw raportów, a jeśli rzeczywiście nazwa użytkownika jest dla Ciebie tak osobista to proszę skorzystać z funkcji CurrentUserName.

Proszę o dostarczenie brakującego raportu Shortcut. Jeśli nie został wygenerowany proszę odpowiednio zaznaczyć opcje.

Miło mi, że mogłem pomóc. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Malwarebytes również możesz odinstalować. Temat zamykam.

Tu mam praktycznie wszystko już załatwione - pozostał problematyczny AVG i drobne szczątki, które teraz są nieistotne. Od strony "infekcyjnej" system wydaję się być doprowadzony do porządku. 1. Przejdź do folderu C:\Program Files\AVG w podfolderze Setup odnajdź plik instalacyjny i spróbuj go wykonać (jeśli nie będzie go pobierz AVG na nowo - może być najnowsza wersja). Instalacja powinna zostać naprawiona, więc odinstaluj ją przez Panel Sterownia. 2. Podsumuj obecny stan systemu i przedstaw ponownie pełny zestaw raportów FRST. P.S: Nad pendrivem muszę pomyśleć.

Obecnie całość wygląda w porządku. Infekcja usunięta. Jak podsumowujesz obecną sytuację? Czy problem, z którym się zgłosiłeś ustąpił?

W systemie działa infekcja uruchamiana przez wiersz poleceń. Powinniśmy szybko się z tym uporać. Dodatkowo zajmę się kasacją martwych skrótów / wpisów / plików tymczasowych (w tym czyszczenie kosza) / resztek po oprogramowaniu m.in po Avast i Google Chrome. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms 2 [GOG.com]\Manual.lnk -> E:\Worms 2\manual.pdf C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms 2 [GOG.com]\Uninstall Worms 2.lnk -> E:\Worms 2\unins000.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms 2 [GOG.com]\Worms 2.lnk -> E:\Worms 2\GOGLauncher.exe C:\Users\zwyro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Worms 2\Worms 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio\Android Studio.lnk C:\Users\zwyro\Links\MEGA.lnk C:\Users\zwyro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\23 Mod\23 MoD.lnk C:\Users\zwyro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avast Secure Browser.lnk ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {36EECAE1-3E34-4A61-8394-42D7F23F0455} - \Microsoft\Windows\WwanSvc\NotificationTask -> Brak pliku Task: {67889EEC-D7B4-43D3-B82C-D0DBA3522591} - \Microsoft\Windows\WCM\WiFiTask -> Brak pliku Task: {BC40FCF6-98AA-466D-98D4-D4D532C3007D} - \Microsoft\Windows\NlaSvc\WiFiTask -> Brak pliku Task: {6C76BBC2-DE4B-4C6B-B586-5F14E96799D8} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia - Windows Defender HKU\S-1-5-21-305178186-2251966430-3923819851-1001\...\Command Processor: @mode 15,1 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\zwyro\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\zwyro\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) C:\Users\zwyro\AppData\Roaming\Microsoft\SoundMixer S2 VMnetDHCP; C:\WINDOWS\SysWOW64\vmnetdhcp.exe [X] S3 AndnetBus; \SystemRoot\System32\drivers\lgandnetbus64.sys [X] S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X] 2018-03-24 14:39 - 2016-03-12 14:28 - 000000000 ____D C:\ProgramData\AVAST Software Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W porządku. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Raporty wyglądają już OK. Jak podsumowujesz obecną sytuację? Tak, ale wydaję mi się, że ten argument zostanie poprawnie odczytany.

Cała lista to komponenty malware / adware. Proszę je usunąć z listy wykluczeń, ale spokojnie - to już nie stwarza zagrożenia - po prostu nie w przyszłości takie dane nie byłyby skanowane. Nie przejmowałbym się tym. Wygląda na to, że rzeczywiście jakieś aplikacje wymagają .NET Framework - jeśli okno wyskoczy ponownie proszę wdrążyć aktualizację (i zwrócić uwagę czy na pewno odbywa się to przez Windows Update). Z mojego punkty widzenia też już wszystko powinno być w porządku. Cieszę się, że mogłem pomóc! 1. Uruchom przeglądarkę Mozilla FireFox, a następnie użyj kombinacji klawiszy CTRL + SHIFT + A > otworzy się Menedżer dodatków > przejdź do karty Rozszerzenia > z listy wybierz podejrzane __MSG_appName__ i kliknij Usuń. 2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. ==================== Centrum zabezpieczeń ======================== AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B} AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96} AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} Malwarebytes możesz odinstalować, choć z tego co widzę aktywowałeś okres próbny aplikacji (czyli składnik ochrony w czasie rzeczywistym jest włączony). Do jego wygaśnięcia możesz przy nim pozostać - później stanie się on jedynie skanerem na żądanie. Sugeruję więc skorzystać z naszej autorskiej listy oprogramowania zabezpieczającego i wybrać odpowiedni dla siebie pakiet zabezpieczający, ewentualnie możesz poprosić o pomoc w wyborze zakładając stosowany temat w dziale Oprogramowanie zabezpieczające.

Operacje pomyślnie wykonane. Zbliżamy się do finalizacji tematu! 1. Zagrożenia (większość to szczątki) wykryte przez Malwarebytes daj do kasacji, a następnie powtórz skan w celu potwierdzenia wyniku zero detekcji. 2. Przez SHIFT + DELETE (omijanie kosza) skasuj: - szczątkowy folder adware: C:\Users\byrdz\AppData\Local\AdService - szczątkowe foldery po oprogramowaniu Kazrog - C:\Program Files (x86)\Kazrog i C:\Users\byrdz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kazrog (w katalogu została już chyba tylko instrukcja). 3. Podsumuj obecny stan systemu.

Wszystkie zadane działania zostały pomyślne wykonane. Przechodzimy do poprawek mających na celu usunąć szczątki infekcji. Proszę mnie upewnić: przeglądarka Opera nie jest zainstalowana, prawda? Jeśli nie to proszę przejść dalej: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\ShutdownTime C:\Users\byrdz\AppData\Local\ca82a53784824e738c137e50727f8f1a C:\Users\byrdz\AppData\Local\InstallationConfiguration.xml C:\Users\byrdz\AppData\Local\installer.dat C:\Users\byrdz\AppData\Local\po.db C:\Users\byrdz\AppData\Roaming\FastDataX C:\Users\byrdz\AppData\Roaming\Microleaves C:\Users\byrdz\AppData\Roaming\SystemHealer Task: {DBE4B2C5-4A3B-4325-9EAD-869468833F59} - System32\Tasks\FastDataX Task => C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE Task: {B2B33212-CAA9-4CF7-8534-85704F933025} - System32\Tasks\Opera scheduled Autoupdate 1521724106 => C:\Users\byrdz\AppData\Local\Programs\Opera\launcher.exe HKLM\...\StartupApproved\Run32: => "ShutdownTime" BootExecute: autocheck autochk * aswBoot.exe /M:cd53853c /wow /dir:"c:\program files\avast software\avast" 2018-03-22 15:40 - 2018-03-22 15:40 - 000000000 ____D C:\Program Files\Common Files\AVAST Software 2018-03-22 14:08 - 2018-03-22 15:40 - 000000000 ____D C:\ProgramData\AVAST Software 2018-03-22 15:44 - 2018-03-22 15:44 - 000000000 ___HD C:\$AV_ASW Folder: C:\Program Files (x86)\Kazrog BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\JwYYyjKjrIE\txDXw8cGH.dll => Brak pliku BHO-x32: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\JwYYyjKjrIE\k5LI9LR.dll => Brak pliku S2 PDcErbzxIU3q Updater; C:\Program Files (x86)\PDcErbzxIU3q Updater\PDcErbzxIU3q Updater.exe [X] 2018-03-22 14:09 - 2018-03-22 14:21 - 000000000 ____D C:\Users\byrdz\AppData\Local\Opera Software 2018-03-22 14:09 - 2018-03-22 14:09 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\Opera Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Operacja pomyślnie wykonana. Czy masz jeszcze jakieś pytania?

System jest w agonalnym stanie - masa infekcji i instalacji adware. Między innymi: infekcja na poziomie DNS Windows, szkodliwe zadania w Harmonogramie zadań i niepożądane koparki BitCoin. Postaram się jak najszybciej doprowadzić to do porządku. P.S: Skrypt wyczyści również systemowy kosz, więc przed przystąpieniem do akcji ewakuuj stamtąd ważne dla Ciebie pliki. 1. Deinstalacje: Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: Online Application. Przez Panel Sterownia odinstaluj kolejne instalacje adware, PUP oraz koparki BitCoin: Browser-Security, FastDataX 1.20, PDcErbzxIU3q Updater version 1.2.0.4, RunBooster, YoutubeAdBlock, ShutdownTime version 1.0., Multitimer version 1.0. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Massive\Native Instruments Homepage.lnk C:\Users\byrdz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kazrog\Recabinet\Manual.lnk C:\Users\byrdz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kazrog\Recabinet\Uninstall.lnk ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {09B886FF-8099-4260-A05F-5802AEAD33D8} - System32\Tasks\dTRRfHQjsHOvbdt2 => rundll32 "C:\Program Files (x86)\LfFoujfjU\vJRmNI.dll",#1 Task: {CEFC37DF-45F8-422D-AE02-524CCA67331F} - System32\Tasks\qFbxfDUevnccZZ => rundll32 "C:\Program Files (x86)\jzVqtpDsXbLU2\EvfJfRbmLNDIf.dll",#1 Task: {EB593E33-0DC7-4D22-87F1-F1F330177DA5} - System32\Tasks\dIxshjfnsDsrepSSqPt2 => rundll32 "C:\Program Files (x86)\pidIvTaYsJowC\MczYPAT.dll",#1 Task: {FFDEAE73-39A9-4E12-8959-6F63B0386E8D} - System32\Tasks\WlbBJSMcknvngxNxC2 => rundll32 "C:\Program Files (x86)\mAUzXDPkZrvZtXzyunR\youRzsM.dll",#1 C:\Program Files (x86)\LfFoujfjU C:\Program Files (x86)\jzVqtpDsXbLU2 C:\Program Files (x86)\pidIvTaYsJowC C:\Program Files (x86)\mAUzXDPkZrvZtXzyunR Task: {18EBE0ED-1EAB-4776-BDFC-E8DFA3640784} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AJ => C:\Users\byrdz\AppData\Roaming\4aa57c69cf284598ba2474ba12f54e45\HandlerExecution.exe [2018-03-22] () Task: {8BCC4E10-726F-4DA4-B219-6D2BE0E31FB2} - System32\Tasks\GoogleUpdateSecurityTaskMachine_YD => C:\Users\byrdz\AppData\Roaming\73179a203cf14340a078b0b2aacf6ba6\HandlerExecution.exe [2018-03-22] () Task: {A4C9CEF0-7528-4F97-B650-8F312A6116F1} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OX => C:\Users\byrdz\AppData\Roaming\76cc55dd9a3740408c857ed0f23ff1bb\HandlerExecution.exe [2018-03-22] () Task: {E6E348A5-D695-46CB-88BC-4DDDA52CD080} - System32\Tasks\GoogleUpdateSecurityTaskMachine_LF => C:\Users\byrdz\AppData\Local\ca82a53784824e738c137e50727f8f1a\HandlerExecution.exe [2018-03-22] () Task: {A3D367BC-0B47-45F3-A9CB-CDB33A77C63B} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\ProgramData\e9bee0b438034d95b679fea1fd7dc782\HandlerExecution.exe [2018-03-22] () C:\Users\byrdz\AppData\Roaming\4aa57c69cf284598ba2474ba12f54e45 C:\Users\byrdz\AppData\Roaming\73179a203cf14340a078b0b2aacf6ba6 C:\Users\byrdz\AppData\Roaming\76cc55dd9a3740408c857ed0f23ff1bb C:\ProgramData\e9bee0b438034d95b679fea1fd7dc782 Task: {626CFDB1-5A99-4870-8752-C6117F6A7A62} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {662EABC6-8533-4A21-B365-DAE015B50537} - System32\Tasks\cmdsrv => C:\Browse\cmdsrvs.exe [2018-03-13] (Secrypt Inc.) C:\Browse GroupPolicy: Ograniczenia - Chrome S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S1 ebsktgnk; \??\C:\WINDOWS\system32\drivers\ebsktgnk.sys [X] S1 fqvefljg; \??\C:\WINDOWS\system32\drivers\fqvefljg.sys [X] S1 nkwpmper; \??\C:\WINDOWS\system32\drivers\nkwpmper.sys [X] S1 sldylynf; \??\C:\WINDOWS\system32\drivers\sldylynf.sys [X] S1 tcqhgvfw; \??\C:\WINDOWS\system32\drivers\tcqhgvfw.sys [X] 2018-03-22 15:34 - 2018-03-22 15:34 - 000000000 ____D C:\Program Files (x86)\yplCmHJcuoUn 2018-03-22 15:34 - 2018-03-22 15:34 - 000000000 ____D C:\Program Files (x86)\JwYYyjKjrIE 2018-03-22 15:07 - 2018-03-22 15:07 - 000000000 ____D C:\Program Files (x86)\pidIvTaYsJowCapgudtfmgq 2018-03-22 15:07 - 2018-03-22 15:07 - 000000000 ____D C:\Program Files (x86)\mAUzXDPkZrvZtXzyunRqnaqcoltor 2018-03-22 14:09 - 2018-03-22 14:09 - 000000000 ____D C:\Program Files (x86)\pidIvTaYsJowCwwpehuhwin 2018-03-22 14:09 - 2018-03-22 14:09 - 000000000 ____D C:\Program Files (x86)\mAUzXDPkZrvZtXzyunRytubqimuyg 2018-03-22 14:07 - 2018-03-22 14:09 - 000000000 ____D C:\Program Files (x86)\foldershare 2018-03-22 14:09 - 2018-03-22 15:45 - 000000000 ____D C:\Program Files\UEDT1PI04N 2018-03-22 14:35 - 2018-03-22 15:08 - 000000000 ____D C:\Users\byrdz\AppData\Local\yvxxOSvvvpXeZpQog 2018-03-22 14:09 - 2018-03-22 15:30 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\j55dtnxuyah 2018-03-22 14:08 - 2018-03-22 15:19 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\cpuminer 2018-03-22 14:08 - 2018-03-22 14:08 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\gplyra 2018-03-22 14:06 - 2018-03-22 14:06 - 000000000 ____D C:\ProgramData\ef737cee-6357-1 2018-03-22 14:06 - 2018-03-22 14:06 - 000000000 ____D C:\ProgramData\ef737cee-3535-0 2018-03-22 14:09 - 2018-03-22 15:43 - 000000000 ____D C:\ProgramData\9d594f1d35 2018-03-22 14:07 - 2018-03-22 15:08 - 000000000 ____D C:\Applications Folder: C:\Users\Public\Documents\AdobeGC Folder: C:\WINDOWS\Microsoft Antimalware Folder: C:\WINDOWS\system32\config\SOFTWARE Folder: C:\Users\byrdz\AppData\Roaming\WidModule Folder: C:\Program Files (x86)\ON Tcpip\..\Interfaces\{5b7f5289-b6e9-46e5-bfee-e51b2047720e}: [NameServer] 82.163.142.8,95.211.158.136 CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\byrdz\AppData\Local CMD: dir /a C:\Users\byrdz\AppData\LocalLow CMD: dir /a C:\Users\byrdz\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Infekcja adware zmodyfikowała plik Google Chrome resources.pak i wymagana jest kompleksowa reinstalacja tej przeglądarki. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty FRST i Addition zostały ucięte. Proszę o dostarczenie całych raportów.

Ważne jest prawidłowa deinstalacja, czyli taka, która jest zalecana przez producenta. Przykładowo wiele producentów produktów zabezpieczających posiada swoje własne deinstalatory w katalogu instalacyjnym lub w ogóle osobne narzędzia, które trzeba uruchomić z poziomu Trybu awaryjnego (brak żadnych innych akcji). Nie masz wystarczającej wiedzy o samym systemie, więc czyszczenie ręcznie jest wysoce ryzykowne. Rejestr systemu to obszar krytyczny. Ja nie polecę żadnego oprogramowania, ale z aspektów bezpieczeństwa należy patrzeć na to czy jest wykonywana kopia zapasowa rejestru przed wprowadzeniem zmian (i CCleaner chyba ma taką funkcje) oraz tworzyć Punkty przywracania.

Na forum nie polecamy używania oprogramowania przeznaczonego do czyszczenia rejestru. Więcej informacji tutaj i tutaj. Detekcja Nieprawidłowa reguła zapory często powiązana jest z martwą konfiguracją odwołującą się do odinstalowanego program czy też danego komponentu. Sugeruję upewnić się, że zainstalowana wersja jest aktualna. Ewentualnie proszę wyczyścić sekcje reguły zapory - w tym celu przejdź do konsoli komend i użyj polecenia netsh advfirewall reset.

Raporty nie wykazują oznak infekcji. W spoilerze zadaję drobną kosmetykę do wykonania. Po uruchomieniu systemu czasem zauważalne jest "migające" okno konsoli komend, aczkolwiek proces ten może być związany z aktualizacją danego oprogramowania.