picasso

Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs - to jest archiwum. Bieżące raporty powstają zawsze tam skąd uruchamiasz FRST, w tym przypadku folder Pobrane. Poza tym, zabrakło trzeciego obowiązkowego raportu FRST Shortcut. Oznak czynnej infekcji brak. Аrdаmаx Keylogger prawdopodobnie był tu celowo ręcznie instalowany, a nie przemycony w niechciany sposób. W raportach widać tylko odpadkowe foldery po nim oraz szczątki adware, w tym przekierowania Ask wprowadzone przez świeżą instalację RealPlayer. Log AdwCleaner z czyszczenia jest urwany i chyba część się nie przetworzyła, na razie zaadresuję tylko to co widać w raportach FRST. Operacje do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe Flash Player 19 PPAPI, Adobe Flash Player 20 NPAPI, Adobe Shockwave Player 12.0, DivX Setup, Java 7 Update 25, Qtrax Player. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {01A92C01-A358-4D87-912B-88591AA92157} - System32\Tasks\{0566335F-2F32-464A-A985-7C29CF2DA4FC} => Firefox.exe hxxp://ui.skype.com/ui/0/6.2.60.106/pl/abandoninstall?page=tsProgressBar Task: {14B50B77-F149-4CAE-AE87-76A0223DFD5C} - System32\Tasks\Norton Security Scan for Agata => C:\Program Files (x86)\Norton Security Scan\Engine\4.0.1.16\Nss.exe Task: {2EFDA665-88A2-4EC8-A896-C3854D67D1E1} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe Task: {584FB65B-4078-4F2D-A88E-7C562F160446} - System32\Tasks\{B836B11F-1660-4C64-8E2D-6EF6FB4366C2} => pcalua.exe -a D:\Autorun.exe -d D:\ Task: {814C8C47-66E5-44B3-A19E-C8FB31FF4FCA} - System32\Tasks\{AEBBDEE1-AD2E-4167-920B-7B0DB92A7A82} => pcalua.exe -a D:\Autorun.exe -d D:\ Task: {E20EB405-74D2-4ECB-9BA6-3655D7F217E7} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_18_0_0_209_pepper.exe Task: {E6FAEFC0-9FA8-4B31-9CA1-EDB4FA08625F} - System32\Tasks\advRecovery => C:\Program Files\Samsung\Recovery\WCScheduler.exe [2012-09-04] (SEC) Task: C:\WINDOWS\Tasks\Adobe Flash Player PPAPI Notifier.job => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_18_0_0_209_pepper.exe Task: C:\WINDOWS\Tasks\Norton Security Scan for Agata.job => C:\Program Files (x86)\Norton Security Scan\Engine\4.0.1.16\Nss.exe Task: C:\WINDOWS\Tasks\RMSchedule.job => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: C:\WINDOWS\Tasks\WpsNotifyTask_Agata.job => C:\Program Files (x86)\Kingsoft\Kingsoft Office\wtoolex\wpsnotify.exe Task: C:\WINDOWS\Tasks\WpsUpdateTask_Agata.job => C:\Program Files (x86)\Kingsoft\Kingsoft Office\wtoolex\wpsupdate.exe HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FAH.lnk [2016-03-04] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Update Notifier.lnk [2016-03-04] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> search.ask.com/?gct=hp CHR StartupUrls: Default -> "hxxp://www.google.com/","www.wp.pl/?src01=dp220140905" CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files (x86)\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2013-02-07] FF SearchEngineOrder.1: Ask.com FF Homepage: hxxps://www.malwarebytes.org/restorebrowser//?appId=AF646E7C-211E-4270-9E2B-F2696D4681EF&bp=1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140905 SearchScopes: HKU\S-1-5-21-132808117-4188919328-2083618679-1002 -> DefaultScope {460C3D19-B3D4-4964-A550-77D263B0CCCB} URL = Toolbar: HKLM-x32 - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku IE Session Restore: HKU\S-1-5-21-132808117-4188919328-2083618679-1002 -> [funkcja włączona] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BrowserProtect DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GlobalUpdater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\NAUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\NOBU DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PCToolsSSDMonitorSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PSI_SVC_2_x64 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RealNetworks Downloader Resolver Service DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TunngleService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKU\S-1-5-21-132808117-4188919328-2083618679-1001\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-132808117-4188919328-2083618679-1001\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-132808117-4188919328-2083618679-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKU\S-1-5-21-132808117-4188919328-2083618679-1001\Software\Microsoft\Windows\CurrentVersion\Run DeleteKey: HKU\S-1-5-21-132808117-4188919328-2083618679-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Facebook Update" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v FlashPlayerUpdate /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Gameo /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GG /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Pokki /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NextLive /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v egui /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ApnUpdater /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v DivXMediaServer /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v DivXUpdate /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Norton Online Backup" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SSDMonitor /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RealDownloader /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StatupFolder /v "McAfee Security Scan Plus.lnk" /f RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\CCP RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Agata\Doctor Web RemoveDirectory: C:\Users\Agata\AppData\Local\CrashRpt RemoveDirectory: C:\Users\Agata\AppData\Local\F-Secure RemoveDirectory: C:\Users\Agata\AppData\Local\FSDART RemoveDirectory: C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Аrdаmаx Keylogger 4.4.2 CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition, ale zaznacz pole Shortcut. Dołącz też plik fixlog.txt.

Nie notuję tu żadnych oznak infekcji. Czy obecnie występują jakieś problemy w systemie? PS. Drobnostka, do usunięcia szczątkowe wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {15EBBABE-80C2-49B3-8685-200BF33320F8} - System32\Tasks\MySQL\Installer\ManifestUpdate => C:\Program Files (x86)\MySQL\MySQL Installer for Windows\MySQLInstallerConsole.exe Task: {B1F3F7F1-41D5-47F1-9404-EF4F617EC789} - System32\Tasks\{E0C827C3-16FC-40A9-A5F1-B9A87B9DF7DC} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=5.8.0.154&LastError=404 Task: {DC469CF5-BC69-4438-A204-3F95F64419A0} - System32\Tasks\{213E91DB-DF12-408F-A0B0-82701616E65F} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.6.0.103&LastError=404 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" FirewallRules: [TCP Query User{66B21586-04AF-4513-91D0-140C6D35BB03}C:\program files\logitech gaming software\lcore.exe] => (Block) C:\program files\logitech gaming software\lcore.exe FirewallRules: [uDP Query User{63746068-6380-4972-AAF7-8C33D7BA38D4}C:\program files\logitech gaming software\lcore.exe] => (Block) C:\program files\logitech gaming software\lcore.exe RemoveDirectory: C:\Users\Johny\Doctor Web C:\Program Files\Logitech C:\Program Files\Common Files\Logitech C:\Users\Johny\AppData\Local\{6C685621-B62A-4E23-8AA5-EF172151A23C} C:\Users\Johny\AppData\Roaming\Logishrd C:\Users\Johny\AppData\Roaming\Logitech EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe logi FRST nie są potrzebne.

Nie wszystkie wejścia DNS się zaktualizowały... Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{2dab2063-87ab-445d-b08a-53fbc60ee0f5}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{2dab2063-87ab-445d-b08a-53fbc60ee0f5}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{4b31ff13-63c6-4296-8b18-f6417aa595aa}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{e325ae77-ebc4-43ee-87e1-9f3599775999}: [DhcpNameServer] 82.163.142.7 CMD: ipconfig /flushdns DeleteQuarantine: Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition. Dołącz też plik fixlog.txt.

MPC Cleaner to bardzo inwazyjny program, który nakłada filtry na woluminy oraz używa mocne sterowniki poziomu kernel chroniące modyfikacje. Jego komponenty są nieusuwalne przy udziale programów, które nie operują na poziomie kernel, czyli AdwCleaner i FRST nie poradzą sobie. Z tym że u Ciebie już nie ma sterowników tego programu, i prawdopodobnie to załatwiłeś programem NoVirusThanks Registry DeleteEx (podawałam go w innym temacie), gdyż widzę go na dysku. Obecnie MPC Cleaner jest w połowie czynny, a jego reinstalacja wynika zapewne z innych aktywnych elementów. Prócz tytułowego gagatka, są także liczne inne obiekty adware produkujące problem reklam: szkodliwe zadania w Harmonogramie, polityki Google Chrome. Działania wstępne do przeprowadzenia: 1. Odinstaluj stare wersje Adobe AIR, Adobe Flash Player 14 ActiveX, Adobe Flash Player 18 PPAPI, Adobe Help Manager oraz Windows 7 Codec Pack 4.1.5 (wygląda na uszkodzony, prawdopodobnie przez AdwCleaner). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {06FD7BC4-8316-4CC6-8AC2-BEC20189D95E} - System32\Tasks\{18268DA6-8E09-4CBB-8FA2-AB76E969F716} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" -d "C:\Program Files (x86)\MPC Cleaner" Task: {4A01D667-4F1F-4E2A-84E5-B673CFDF6F3D} - System32\Tasks\{7A7D7947-0C0F-0E04-0C11-7D050B0A117E} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwA7ADsAOwA7ADsAIAA7ACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIAOwAkAFcAYQByAG4AaQBuAGcAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQA (dane wartości zawierają 9404 znaków więcej). Task: {5108A14E-35A7-400C-A7FA-994845D3B6BA} - System32\Tasks\{8B31D105-6185-4680-A7E7-D27AEB8EDD4B} => pcalua.exe -a "C:\drivers\11. WLAN Driver (Atheros, Broadcom)\Setup.exe" -d "C:\drivers\11. WLAN Driver (Atheros, Broadcom)" Task: {6B9CDA1C-041C-4A06-98A2-996B781A068F} - System32\Tasks\WinTsks => C:\Program Files (x86)\WinTsks\WinTsks\WinTsks.exe [2016-04-09] () Task: {F41E8D1F-C6D0-4969-92E7-977767675CCA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: C:\Windows\Tasks\RB.job => C:\Users\Lewandosie\AppData\Roaming\RB.exe Task: C:\Windows\Tasks\RHOWNXEN.job => C:\Users\Lewandosie\AppData\Roaming\RHOWNXEN.exe R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-04-09] (DotC United Inc) S2 WinSvces; C:\Program Files (x86)\WinSvces\WinSvces\WinSvces.exe [314384 2016-04-09] () S2 BugreportW; "C:\Program Files (x86)\SpeedSearchesbnd\Bugreportauclt.exe" {154DFF63-3402-4815-941A-AAD63AE8B428} [X] S2 QQRepair1ee5; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1ee5" [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [X] S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsDefenseBT64.sys [X] S3 TSSKX64; System32\drivers\tsskx64.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] HKLM\...\Run: [iDSCCOM9R5] => "C:\Program Files\SpaceSoundPro\idsccom_9R5.exe" HKLM-x32\...\Run: [ic-0.0e43db364eed18.exe -start] => C:\Users\LEWAND~1\AppData\Local\Temp\42363522\ic-0.0e43db364eed18.exe -start HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe" /regrun HKLM-x32\...\Run: [mpck_en_005030293] => [X] HKLM-x32\...\Run: [WizzWifiHotspot] => "C:\Program Files (x86)\WizzWifiHotspot\WizzWifiHotspot.exe" HKLM-x32\...\Run: [sun21] => [X] HKU\S-1-5-21-1873305243-1807652570-931623353-1000\...\Run: [AdobeBridge] => [X] AppInit_DLLs: C:\ProgramData\Quotenamron\VilaHotfix.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Biglight.dll => Brak pliku ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.qq.com/?unc=o400493_1&s=o400493_1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1873305243-1807652570-931623353-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-1873305243-1807652570-931623353-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-1873305243-1807652570-931623353-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-1873305243-1807652570-931623353-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.qq.com/?unc=o400493_1&s=o400493_1 SearchScopes: HKLM-x32 -> DefaultScope - brak wartości AlternateDataStreams: C:\Users\Lewandosie\Cookies:oVgosJpKFHQGJ5voClrpzx [2022] AlternateDataStreams: C:\Users\Lewandosie\Ustawienia lokalne:W4auzV7mFXzvrv1m3stl [2120] AlternateDataStreams: C:\Users\Lewandosie\AppData\Local:W4auzV7mFXzvrv1m3stl [2120] AlternateDataStreams: C:\Users\Lewandosie\AppData\Local\Dane aplikacji:W4auzV7mFXzvrv1m3stl [2120] Hosts: DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\extensions C:\Program Files (x86)\badu C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\SpeedSearchesbnd C:\Program Files (x86)\Tencent C:\Program Files (x86)\WinSvces C:\Program Files (x86)\WinTsks C:\ProgramData\Tencent C:\ProgramData\Thunder Network C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\Lewandosie\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Lewandosie\AppData\Local\app C:\Users\Lewandosie\AppData\Local\Chromium C:\Users\Lewandosie\AppData\Local\Mozilla C:\Users\Lewandosie\AppData\Roaming\*.* C:\Users\Lewandosie\AppData\Roaming\MCorp C:\Users\Lewandosie\AppData\Roaming\Mozilla C:\Users\Lewandosie\AppData\Roaming\Tencent C:\Users\Lewandosie\Downloads\*.crdownload C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Users\Public\Thunder Network Folder: C:\Users\Public\Documents\dmp C:\Users\Public\Documents\dmp C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\Drivers\TsFltMgr.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy SafeFinder (o ile będzie widoczny). 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Zaprezentuj wyniki skanów pokazujących owe "trojany" oraz podaj o jakie pliki EXE chodzi (konkretne ścieżki dostępu). Jeśli chodzi o dostarczone raporty, widać ślady infekcji Sality - infekcja plików wykonywalnych atakująca wszystkie dostępne dyski, czyli w uproszczeniu mówiąc uszkadzanie plików EXE i podobnych. Sality objawia się tu w następujących miejscach: autoryzacje "ipsec" w Zaporze oraz w GMER odnośnik do sterownika owssqr.sys (ale nie widać go z kolei w FRST). Nie wiadomo czy infekcja jest aktywna, co nie zmienia faktu, że zainfekowane pliki EXE muszą być leczone lub wyrzucane. Skanery MBAM i SUPERAntispyware nie nadają się do usuwania takich infekcji, nie są antywirusami. Wstępnie zrób skan za pomocą Kaspersky Virus Removal Tool (KVRT), w konfiguracji po kolei zaznacz wszystkie dyski.

Problemy SafeFinder generują moduły DLL ładowane techniką AppInit_DLLs. Są również zmodyfikowane preferencje przeglądarek Google Chrome i Internet Explorer. A W Firefox także stare śmieci poprzednich infekcji adware oraz stare rozszerzenia nie podpisane cyfrowo. Swoją drogą, jest tu też crack aktywacji KMSpico... Akcja do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Quotenamron\BioIs.dll => C:\ProgramData\Quotenamron\BioIs.dll [363520 2016-04-07] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\MedNix.dll => C:\ProgramData\Quotenamron\MedNix.dll [257536 2016-04-07] () HKU\S-1-5-21-1616403842-1430195573-4232313489-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} HKU\S-1-5-21-1616403842-1430195573-4232313489-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtfjCS0UItoAJP9NhmWuyT1d1Id8Ho9QHo-am7RtvsDJAbmp7vpPNNekqpQ5wMXeePEvnSVRb9tYAEFNjLlAff0rQuUAbV5 HKU\S-1-5-21-1616403842-1430195573-4232313489-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} HKU\S-1-5-21-1616403842-1430195573-4232313489-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} SearchScopes: HKU\S-1-5-21-1616403842-1430195573-4232313489-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} SearchScopes: HKU\S-1-5-21-1616403842-1430195573-4232313489-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} CHR StartupUrls: Default -> "www.wp.pl/?src01=dp2" CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder CHR Session Restore: Default -> [funkcja włączona] CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\Users\Komputer\AppData\Roaming\*.* C:\Windows\%LOCALAPPDATA% C:\Windows\SysWOW64\findit.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Safefinder (o ile nadal będzie widoczna). 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

1. Uruchom ponownie AdwCleaner, po kolei wybierz opcje Skanuj i Usuń. Dostarcz log wynikowy z czyszczenia. 2. Ostatni Fix FRST manipulował w serwerach DNS na poziomie rejestru. Jakoby to się wykonało, ale na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

W raportach nie widać oznak aktywnej infekcji, tylko 2 foldery ostały się na dysku. Mam też pytanie, czy pakiet Microsoft Office Enterprise 2007 w ogóle działa? Jest stanowczo zbyt dużo pustych wpisów z nim związanych. Doczyść szczątki, wliczając też puste wpisy i odpadki po aktualizacji z Windows 7. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0A17C4AD-552B-48B4-9417-19ACC0388EE2} - System32\Tasks\{4C16AE9F-8D59-4388-A8AC-8847ED730AB9} => C:\Users\Patrycja\Downloads\mk2\Mortal Kombat 2\MK2.EXE Task: {0ADEEA58-2B39-459E-9A37-72F4DB98C2A6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {0F5DE5DF-175D-4B43-9909-5F57D6B09FBF} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {10DAF6BC-E1A1-4C81-A6B1-F15C31E0416A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {13E40A8D-B000-4BBB-A1B2-3A35922A2544} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {1B046DEC-7750-4A01-BB2D-BC20143BD4A5} - System32\Tasks\{25A84888-0CF0-4FA7-BE57-3940F100C4C8} => D:\Nowy folder\Portable Diablo.exe Task: {1F4D80B2-96E4-4D7A-80DC-B6A87F738795} - System32\Tasks\{BA59E7FB-FCA4-45C5-BA96-C9A2C8456603} => D:\Program Files (x86)\Diablo II\Diablo II.exe Task: {246C4762-B934-4896-A6AE-0EA034F201DA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3038CEAD-6569-4502-A52F-68B175E4FDFC} - System32\Tasks\{DB6C6DC4-CF24-40E9-902F-A36254C9D0CD} => D:\Program Files\Adobe Premiere Pro CC 2015\Adobe Premiere Pro.exe Task: {30C44A93-0430-459B-837F-76CB44F2C4BA} - System32\Tasks\{F0C0C6B0-C153-4C36-B8CA-7E710DB50331} => D:\Program Files (x86)\Diablo 2 with Lord of Destruction (v1.13c) (Direct Play)\Diablo II\Diablo II.exe Task: {35CA7E25-1941-4805-A2F5-E90935BF90AC} - System32\Tasks\{70632663-9A3F-41D0-BA12-F171870C9ADD} => D:\Program Files (x86)\Diablo II\Diablo II.exe Task: {3CCA1DBC-BA3A-4BF2-A1D9-5AF364D5C4F4} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3D8C84A2-DFFB-4973-9EE5-91287BEE5873} - System32\Tasks\{02289340-259F-4D17-B76A-830E7EF3DFA3} => C:\Users\Patrycja\Downloads\mk2\Mortal Kombat 2\MK2.EXE Task: {40BC937B-1008-40AA-A6EA-1853FBD466E6} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {41EDC7EC-B608-4A6D-B19F-5A297FE7FB0F} - System32\Tasks\{249CF38A-82E4-46B8-9971-F3044E24AA81} => D:\Program Files (x86)\Black Desert\Black Desert Online Launcher.exe Task: {4D9B0EF1-D40C-4282-83CB-B3996D00D900} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {4DAD68CC-93EC-4964-A4BE-364889FDCA33} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {4E1CEBAB-3B52-405A-AF8F-50F850AD001F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {4F1F76AD-AEF3-415F-94A5-38EA73158110} - System32\Tasks\{7278BD24-2A6D-4B5B-B869-D86B8C83A0EA} => D:\Program Files (x86)\Diablo II\Diablo II.exe Task: {5F33703D-9F57-49C4-885C-673B08C1DD28} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {6092DAE7-9080-4A38-A287-607A14E36E98} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {6158C0E6-3C57-4DF9-95F3-BDAFCCA2795B} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {63AC659B-AB6F-4B20-B3E9-085E6D1566EF} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {6439D3F9-92AF-4022-9F8E-42363322929D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6DED3072-FB8D-4414-9B63-53074A02CD24} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {79D989EC-6B4E-4A3B-AB5A-B2F9670D0581} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {8236C0AE-655D-4C03-88A3-80A038297BFD} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {8363E688-4FF3-45C7-8A78-F7B3833FB080} - System32\Tasks\{BE78A383-F639-42F4-959A-58369BD54793} => D:\Program Files (x86)\Diablo 2 with Lord of Destruction (v1.13c) (Direct Play)\Diablo II\Diablo II.exe Task: {86C37E7B-6DBC-41C8-8FA8-7FB8B28E5BFE} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {87492923-D4DE-4EC7-BF6B-24830671AA46} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {886ED67B-2EA9-4080-BB59-3496991975FF} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {8E738445-1632-4B10-B7DE-4EF5B8FF3DA4} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {A04B69D8-2D7D-4F20-AF2C-E91EF5007B1F} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {A34F1890-EF6F-4F4B-9CB2-0ABEC30C6995} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {A5039B53-8A09-496D-89F8-0ADBBB609593} - System32\Tasks\{315E4787-1361-4B7A-8688-82F3DDAA3A4A} => D:\Program Files (x86)\Diablo 2 with Lord of Destruction (v1.13c) (Direct Play)\Diablo II\Diablo II.exe Task: {A6DC62AF-EB97-44DC-9314-831A0F414566} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {A8E02F6F-D5A0-4DC1-833F-D7727606C6A9} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {A9252CD5-88A4-480D-99BE-4FFDE482C548} - System32\Tasks\{2A453FF4-FDB1-4251-AF9C-16A79D570DB7} => D:\Program Files (x86)\Diablo 2 with Lord of Destruction (v1.13c) (Direct Play)\Diablo II\Diablo II.exe Task: {AE5FBC0F-02B9-45D5-B01C-9A93898FF851} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BA9EE2A5-DF30-473A-921E-5396CBDF37E6} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {C15D0433-2C34-4F5B-8F8C-3DF99E204151} - System32\Tasks\{9864924C-A992-4D01-AB3C-3A9DA1422DD3} => D:\Program Files (x86)\Diablo II\Diablo II.exe Task: {D293492C-AD0D-470A-9EA6-FF582200EF09} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {D2D00BF0-6417-4043-ACE3-F940EBDA4962} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {D43D01FB-BA8E-4662-9E35-89D8D29CD666} - System32\Tasks\{3338FEFA-FBB5-4EF1-AD2C-593616F5D154} => pcalua.exe -a "C:\ProgramData\Battle.net\Agent\Blizzard Uninstaller.exe" -c --lang=plPL --uid=diablo3_plpl --displayname="Diablo III" Task: {DF5C2B96-DDED-4821-9D47-F9EC3E603CB1} - System32\Tasks\{8D67CCB5-23DF-4F1B-8A61-07C38C974D6D} => D:\Program Files (x86)\Diablo 2 with Lord of Destruction (v1.13c) (Direct Play)\Diablo II\Diablo II.exe Task: {E11FDF39-A71D-44DA-B3DC-1FA94307FB17} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {E48C0C84-8A4E-41E5-9DAC-AAE28714F750} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E8A18BC4-8B92-4DE2-A4FE-1D0F2D1CED19} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {EC5E657A-1E90-4B78-82B5-DB5E8943BD15} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {ECBEBFD7-20A6-4FC5-815E-051B4E83A7A7} - System32\Tasks\{8FDA9134-94C3-4000-90F6-3AE72FE8CB18} => D:\Program Files (x86)\Diablo II\Diablo II.exe Task: {F18501C5-80D2-47AE-BD74-3FF186D2CEEF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F2EA4868-4F14-47F4-845E-9FA2E122DF33} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {FD2CF352-2681-4958-BD12-E7DA511D93C5} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center HKLM-x32\...\Run: [GrooveMonitor] => "D:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" HKU\S-1-5-21-3982986466-3924518965-2396604863-1000\...\Run: [AdobeBridge] => [X] ShellExecuteHooks-x32: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku [ ] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll => Brak pliku Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll Brak pliku U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath AlternateDataStreams: C:\Users\Patrycja\AppData\Local\EUjeV66MX6:iPvBwzfFat8uGiPy3Jkuka [2348] AlternateDataStreams: C:\Users\Patrycja\AppData\Local\Temporary Internet Files:CS5S4f5mhkutFcgmOj3uh7t2G [2254] RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{C51411C0-11DB-AD74-0008-BDAB669A0C20} RemoveDirectory: C:\Users\Patrycja\AppData\Local\EUjeV66MX6 RemoveDirectory: C:\Users\Patrycja\AppData\Local\ZABygAnp RemoveDirectory: C:\Users\Patrycja\AppData\Local\Mozilla RemoveDirectory: C:\Users\Patrycja\AppData\Roaming\Mozilla RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin\Narzędzie zgłaszania błędów Origin.lnk C:\ProgramData\Media Center Programs\MassEffectLauncher.lnk C:\Users\Patrycja\Links\Pobrane.lnk C:\Users\Patrycja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\sai.lnk C:\Users\Patrycja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\AMD Settings.lnk C:\Users\Patrycja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są potrzebne.

Sądzę, że nie ma co tu szukać infekcji i raporty z ogłoszenia można sobie darować. USBFix jest dedykowany tylko i wyłącznie problemom infekcji, a obrazek zawartości pokazujący konwersję danych (foldery przekształcone w pliki) poświadcza uszkodzenia struktury plików a nie problem infekcji. ################## | G:\ - Fixed drive (NTFS) | [01/04/2016 - 20:37:29 | SHD] - G:\found.001 [19/12/2015 - 16:47:44 | SHD] - G:\found.000 [16/03/2014 - 17:11:52 | N | 0 Ko] - G:\Przegrywki z płyt - filmy [31/07/2014 - 22:30:05 | N | 0 Ko] - G:\Toshiba - backup [02/08/2014 - 00:30:04 | SH | 0 Ko] - G:\RECYCLER [12/08/2014 - 22:54:28 | N | 0 Ko] - G:\Zdjęcia SIII [02/09/2014 - 21:51:44 | N | 0 Ko] - G:\Samsung backup [06/10/2014 - 22:53:32 | N | 0 Ko] - G:\The Sims - dodtaki [26/09/2015 - 09:57:16 | N | 0 Ko] - G:\Programy [19/12/2015 - 17:08:45 | N | 0 Ko] - G:\Gry [24/01/2016 - 20:34:07 | N | 0 Ko] - G:\Rick and Morty S02 [24/03/2016 - 15:41:44 | N | 0 Ko] - G:\Filmy i seriale [25/03/2016 - 21:19:21 | N | 0 Ko] - G:\HP Backup [01/04/2016 - 20:30:58 | SH | 0 Ko] - G:\System Volume Information Temat przenoszę do działu Hardware. Groszexxx wskaże jakie dalsze kroki należy podjąć. EDIT: Źle popatrzyłam na literę, G wykryte w USBFix.

Skrypt FRST został wykonany poprawnie. Rozumiem, że nie było żadnych trudności z organizacją danych na urządzeniu. W związku z tym kończymy: 1. Odinstaluj USBFix. Skasuj FRST i jego logi z folderu POBRANE na Pulpicie. 2. Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK.

W wynikach skanu C:\Windows\update.exe to składnik infekcji (innej niż usuwana), reszta wyników związana z pobranymi plikami sponsorowanymi oraz różnymi crackami do gier. Część z tych cracków mogła być nieszkodliwa. Na koniec zastosuj DelFix, a także zaktualizuj poniżej zakreślone wersje Adobe: KLIK. ==================== Zainstalowane programy ====================== Adobe Flash Player 20 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 20.0.0.306 - Adobe Systems Incorporated) Adobe Reader XI (11.0.14) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.14 - Adobe Systems Incorporated)

Działania pomyślnie wykonane. Została sprawa Opery: Podaję instrukcje dopasowane do tego co widać w raportach. Skoro instrukcje są dla Firefox i Opera, to znaczy że tam było/jest adware. I wg raportów FRST Opera jest zainstalowana - wpis na liście programów oraz profil na dysku: ==================== Zainstalowane programy ====================== Opera Stable 36.0.2130.32 (HKLM-x32\...\Opera 36.0.2130.32) (Version: 36.0.2130.32 - Opera Software) Opera: ======= OPR Extension: (Round World) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\dcmfflhpaafbbcnimkgkghmnccbbblla [2015-04-18] OPR Extension: (SuperPlusRadio v2.1V28.02) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\pejbhkfikpgbcdlcallkbegemlogoklg [2015-03-01] Czy widzisz wpis Opery na liście zainstalowanych?

Wszystko gładko przetworzone. Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Adobe RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\Program Files\Common Files\Adobe RemoveDirectory: C:\Users\Pawel\AppData\Local\Adobe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy plik fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Temat przenoszę do działu Windows. Żadnych oznak infekcji. W tej materii jest podejrzany Kaspersky Internet Security. Na początek sprawdź czy objawy występują również w następujących sytuacjach: - Po wyłączeniu dodatków Kasperskiego w Opcje internetowe > Programy > Zarządzaj dodatkami. - Po deaktywacji ogólnych osłon Kasperskiego. Są też w Dzienniku błędy Zapory systemu Windows charakterystyczne dla uszkodzonych uprawnień kluczy powiązanych usług w rejestrze, aczkolwiek to może być też wynik aktywności Kasperskiego. Swoją drogą, to Zaporę systemową powinien wyłączyć... Dziennik System: ============= Error: (04/04/2016 03:26:33 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Usługa nasłuchująca grup domowych zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023143. Error: (04/04/2016 03:26:01 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Zapora systemu Windows zakończyła działanie; wystąpił specyficzny dla niej błąd %%5.

Tak, wiem to z raportów FRST. Kwestia zainstalowanych programów będzie omówiona potem. Stanowiska mają strasznie stare niebezpieczne wersje Adobe i Java. Exploity Adobe to jedna z dróg tej infekcji szyfrującej dane i koniecznym będzie aktualizacja aplikacji. PS. Zaktualizowałam oba skrypty. Przeoczyłam jedną gwiazdkę w maskach usuwania plików ransom.

Skrypt FRST pomyślnie przetworzony. W nowym raporcie FRST nie widzę już żadnych śladów adware. Na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Jeśli obecnie w Panelu sterowania widzisz tylko najnowszą wersję Java 8 Update 77, to w porządku. Ale jeśli są dwie, to zostaw najnowszą, a starszą odinstaluj.

Jeśli chodzi o pokazane tu skany z komputerów klienckich, to w nich również nie ma jawnych oznak aktywnej infekcji (brak jej elementów startowych), choć na obu systemach widać, że podlegały one procesowi szyfrowania, gdyż są notatki ransom. Przy czym, to drugie stanowisko pokazane dziś sugeruje, że jest źródłem - figuruje ukryty plik symulujący komponent Microsoftu: 2016-04-08 08:22 - 2016-04-08 08:22 - 00227316 ____H (Microsoft Corporation) C:\Documents and Settings\uzytkownik1\Moje dokumenty\oiagiygemthq.exe Problem z widocznością aktywności infekcji może tu polegać na kontekście konta z którego robisz skan. Na drugim stanowisku skan FRST został zrobiony z poziomu wbudowanego Administratora, a nie konta użytkownika uzytkownik1. Skrypty doczyszczające dla tych stanowisk: STANOWISKO 1: Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload Task: C:\WINDOWS\Tasks\RegCure Program Check.job => C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exeShowReminders4C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe Task: C:\WINDOWS\Tasks\RegCure Startup.job => C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe-Tray4C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe Task: C:\WINDOWS\Tasks\RegCure.job => C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe-t4C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe DomainProfile\AuthorizedApplications: [C:\Program Files\Orbitdownloader\orbitnet.exe] => Enabled:P2P service of Orbit Downloader DomainProfile\AuthorizedApplications: [C:\Documents and Settings\pbrek\Ustawienia lokalne\Temp\~osB.tmp\rlvknlg.exe] => Enabled:rlvknlg.exe HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u HKU\S-1-5-21-3125558812-1384495094-3903194841-1005\...\RunOnce: [NeroHomeFirstStart] => "C:\Program Files\Common Files\Nero\Lib\NMFirstStart.exe" ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia CHR HKLM\...\Chrome\Extension: [gkjoindjjcmbdpbfppabdgflnkgbbcli] - C:\Program Files\FTDownloader.com\FTDownloader10.crx CHR HKLM\...\Chrome\Extension: [pfmopbbadnfoelckkcmjjeaaegjpjjbk] - C:\Program Files\Gophoto.it\gophotoit14.crx [2012-07-31] S2 DockLoginService; C:\Program Files\Dell\DellDock\DockLogin.exe [X] S2 RoxLiveShare9; "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe" [X] S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X] S3 stllssvr; "C:\Program Files\Common Files\SureThing Shared\stllssvr.exe" [X] S3 EST_BusEnum; system32\DRIVERS\GenBus.sys [X] S3 NUServerXP32; system32\DRIVERS\NUServerXP32.sys [X] S3 NUS_BusXP32; system32\DRIVERS\NUS_BusXP32.sys [X] S3 RimUsb; System32\Drivers\RimUsb.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] S3 WDC_SAM; system32\DRIVERS\wdcsam.sys [X] AlternateDataStreams: C:\WINDOWS:054AB575DD603D93 [50] RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\~0 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP RemoveDirectory: C:\Program Files\Gophoto.it CMD: attrib -r -h -s C:\-!RecOveR!* /s CMD: del /q /s C:\-!RecOveR!* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w tym samym folderze skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić restart. Skrypt może się długo wykonywać, ze względu na rekursywne usuwanie plików ransom. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. STANOWISKO 2: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: C:\Documents and Settings\uzytkownik1\Moje dokumenty\oiagiygemthq.exe C:\Documents and Settings\uzytkownik1\Moje dokumenty\desctop.ini CMD: attrib -r -h -s C:\-!RecOveR!* /s CMD: attrib -r -h -s D:\-!RecOveR!* /s CMD: del /q /s C:\-!RecOveR!* CMD: del /q /s D:\-!RecOveR!* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Tak samo jak wyżej. 2. Skan FRST był wykonywany w następującym środowisku: Załadowane profile: Administrator (Dostępne profile: user1 & Administrator & rgrzegorczyk & uzytkownik1 & handlowiec & Administrator) Jeśli to możliwe, podaj skan FRST z konta uzytkownik1. Przypuszczalnie to właśnie na nim jest wpis startowy infekcji pasujący do pliku oiagiygemthq.exe. I w podobny sposób należałoby sprawdzić wszystkie konta po kolei... Oba pliki fixlog.txt mogą być ogromne. W takim przypadku shostuj gdzieś i podaj do nich linki.

Brakuje nowego pliku FRST Addition. Zaćmiło mnie. To nie był ten BitDefender, tylko składnik instalacji Ad-Aware Antivirus (używa silnika BitDefender). Instrukcja do zignorowania.

Przecież podałam Ci link. Cytuję z niego wybrany fragment:

W raportach widać tylko mikroszczątki (odpadki po Tencent oraz odinstalowanym Google Chrome). Doczyść te drobnostki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.xinjunshi.com/?qg HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTray.exe" /regrun HKLM-x32\...\Run: [BlueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku Task: {DB99E582-E5B2-44D4-90C1-EF41BE0B9A86} - System32\Tasks\{7818EECA-4B74-48D7-83E3-7FA48CAF95D0} => pcalua.exe -a C:\Users\Marcin\Desktop\clean\NeroCleanTool5.0.0.18.exe -d C:\Users\Marcin\Desktop\clean S4 NMIndexingService; "C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe" [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\Google C:\Program Files (x86)\Nero C:\Program Files (x86)\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Nero C:\ProgramData\Thunder Network C:\Users\Bogusia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Grzegorz\Desktop\Google Chrome.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Marcin\AppData\Local\Google C:\Users\Marcin\AppData\Roaming\GiftBag.db C:\Users\Marcin\AppData\Roaming\gplyra C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Steam.lnk C:\Users\Public\Thunder Network C:\Users\Public\Documents\dmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Jest tu więcej kont, Bogusię i Grzegorza rówżnież wypadałoby sprawdzić: ==================== Konta użytkowników: ============================= Bogusia (S-1-5-21-1244533767-2505366996-2244784048-1004 - Administrator - Enabled) => C:\Users\Bogusia Grzegorz (S-1-5-21-1244533767-2505366996-2244784048-1003 - Administrator - Enabled) => C:\Users\Grzegorz Marcin (S-1-5-21-1244533767-2505366996-2244784048-1000 - Administrator - Enabled) => C:\Users\Marcin

Nic tu nie wskazuje na infekcję czy niepożądaną ingerencję. PS. Do wykonania działania poboczne: 1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player 9 ActiveX, Java™ 6 Update 23, Java 7 Update 71. 2. Drobny skrypt kosmetyczny usuwający szczątkowe wpisy oraz czyszczący lokalizacje Temp. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 VIAHdAudAddService; system32\drivers\viahduaa.sys [X] HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (dane wartości zawierają 36 znaków więcej). HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-839522115-813497703-2147074499-1004\...\MountPoints2: {3c4ae87f-74de-11e0-85bc-20cf30c18f48} - F:\Startme.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak HKU\S-1-5-21-839522115-813497703-2147074499-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-839522115-813497703-2147074499-1004 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku FF user.js: detected! => C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\t2m7yaoq.default\user.js [2014-12-06] FF SearchPlugin: C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\t2m7yaoq.default\searchplugins\infoaxe.xml [2014-02-12] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{6D5C8FC4-DE46-41bf-9092-93F0F78E9115}] - C:\Documents and Settings\All Users\Dane aplikacji\Norton\{78CA3BF0-9C3B-40e1-B46D-38C877EF059A}\NSM_2.3.0.22\coFFFw => nie znaleziono FF DefaultSearchUrl: FF Keyword.URL: DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nmctxth DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OODefragTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RemoteControl DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched C:\Documents and Settings\All Users\Dane aplikacji\1441545624.bdinstall.bin C:\Documents and Settings\Wojciech\Dane aplikacji\Bitdefenduser_gensett.xml C:\Documents and Settings\Wojciech\Menu Start\Message_1446199242974.lnk C:\Documents and Settings\Wojciech\Menu Start\Obraz 005.lnk C:\Documents and Settings\Wojciech\Menu Start\unnamed.lnk C:\Program Files\Common Files\Bitdefender C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Objaśnij co Cię konkretnie niepokoi, o co chodzi z "dziwnym zachowaniem". W raportach brak oznak infekcji.

Tak, o to mi chodzi. Daj znać czy uBlock Origin pomógł na wybryki kinomana. I wykonaj też standardowe końcowe kroki: 1. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zainstaluj najnowszą wersję Adobe Flash Player ActiveX (potrzebne dla Centrum HP). Link również w w/w temacie.

DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat zamykam.

Problem z niestartowaniem explorer tkwi w poniższym wpisie Windows szkodliwe zmodyfikowanym. Skan SFC nie rozwiązuje takich spraw w rejestrze, jest dedykowany do naprawy plików. HKLM\...\Winlogon: [userinit] wscript, Jeśli chodzi o reklamy, to w systemie widać szkodliwą modyfikację pliku Hosts oraz rozmaite szczątki instalacji adware. Działania do przeprowadzenia: 1. Odinstaluj zbędne App Explorer oraz McAfee Security Scan Plus (skaner zainstalowany jako sponsor Adobe Flash). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] wscript, R2 Amazon 1Button App Service; c:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [456000 2015-09-17] (Amazon Inc.) S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [168568 2016-03-19] () S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys [X] S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys [X] Task: {1169E2BE-845B-4CB0-ABD7-22BC9D1E6040} - System32\Tasks\Buvjautv => C:\PROGRA~1\SHOPPE~1\Qadjauwu.bat Task: {295AF920-0426-4757-9970-CFB003889A98} - System32\Tasks\App Explorer => C:\Users\Oskar\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [2016-03-11] (SweetLabs, Inc) Task: {6A075FAA-76B5-4395-8636-9609A2C1E6DE} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {6FA3B0CA-C183-4770-AA6B-24FFBC4AE184} - System32\Tasks\{95654311-0069-4773-A392-58FEA26F6E9E} => pcalua.exe -a "C:\Riot Games\League of Legends\lol.launcher.exe" -d "C:\Riot Games\League of Legends\" Task: {73912DE0-81D1-4B8F-8DFA-C73F4BBF1470} - System32\Tasks\Veosmez => C:\PROGRA~1\GROOVE~1\Kebsaala.bat HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-4269906154-861978010-2852916401-1001 -> DefaultScope {D2AAF0B6-1F9B-4E8A-9212-21F6AEECBFC4} URL = SearchScopes: HKU\S-1-5-21-4269906154-861978010-2852916401-1001 -> {D2AAF0B6-1F9B-4E8A-9212-21F6AEECBFC4} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe StartMenuInternet: Google Chrome - Chrome.exe CHR HomePage: Default -> hxxp://www.yoursearching.com/?type=hp&ts=1458370939&z=eea8eed0ac2015473a3d5cdgez1wbb9c8m1e9t5z3e&from=brd&uid=TOSHIBAXMQ02ABD100H_85VTC075TXX85VTC075T CHR StartupUrls: Default -> "hxxp://www.yoursearching.com/?type=hp&ts=1458370939&z=eea8eed0ac2015473a3d5cdgez1wbb9c8m1e9t5z3e&from=brd&uid=TOSHIBAXMQ02ABD100H_85VTC075TXX85VTC075T" CHR DefaultSearchURL: Default -> hxxp://yoursearching.com/web?type=ds&ts=1458370939&z=eea8eed0ac2015473a3d5cdgez1wbb9c8m1e9t5z3e&from=brd&uid=TOSHIBAXMQ02ABD100H_85VTC075TXX85VTC075T&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursearching C:\Program Files\Common Files\Tencent C:\Program Files (x86)\Amazon C:\Program Files (x86)\Tencent C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\3WdM3 C:\ProgramData\8WdM8 C:\ProgramData\SUPERSetup C:\ProgramData\QWdMQ C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\uninst C:\Users\Oskar\AppData\Local\app C:\Users\Oskar\AppData\Local\Tempfolder C:\Users\Oskar\AppData\LocalLow\Company C:\Users\Oskar\AppData\LocalLow\TSearch C:\Users\Oskar\AppData\Roaming\GiftBag.db C:\Users\Oskar\AppData\Roaming\Installer.dat C:\Users\Oskar\AppData\Roaming\BelpoLew C:\Users\Oskar\AppData\Roaming\Nuvoty C:\Users\Oskar\AppData\Roaming\Sowirykd C:\Users\Oskar\AppData\Roaming\Tencent C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys C:\WINDOWS\system32\Drivers\TFsFltX64.sys C:\WINDOWS\SysWOW64\Drivers\TS888x64.sys C:\WINDOWS\SysWOW64\Number of results CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj chińskie rozszerzenie wprowadzone przez Tencent 电脑管家上网防护. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Untersuchen (Scan) - ponownie z Addition, bez Shortcut. Dołącz też plik fixlog.txt. Podsumuj jak działa system i czy są jeszcze jakieś problemy.