picasso

Temat przenoszę do działu Windows. To nie jest problem infekcji. Sugerowane kroki: 1. Odinstaluj "przyśpieszacz" AVG PC TuneUp. 2. W przypadku braku rezultatów przeprowadź test z czystym rozruchem: KLIK. 3. W przypadku braku rezultatów sprawdź czy Avast nie bruździ - testowa deinstalacja. Jeśli nie okaże się winny, przywrócisz go po prostu. PS. A w spoilerze kosmetyka, tzn. usunięcie pustych wpisów (m.in. po aktualizacji z Windows 7 do Windows 10). Bez związku z opisywanymi problemami i nie pomoże ich rozwiązać.

W podanych tu raportach nie widać żadnych oznak tytułej infekcji. Natomiast zastanawiają mnie serwery DNS pobierane z routera. One nie wskazują na polskiego dostawcę (pod którym widać Cię na forum) tylko UK: KLIK. To wygląda na infekcję routera. DNS Servers: 31.3.244.139 - 31.3.244.131 Jeśli chodzi o użyte narzędzia: - AdwCleaner zajmuje się detekcją tylko adware/PUP, a nie trojanów i wirusów. W ogóle się nie nadaje do detekcji Sality i podobnych zjawisk. - Był używany ComboFix i na ten temat: KLIK. Prawdopodobnie masz Windows instalowany z modyfikowanej płyty (wycięte określone usługi). Skutkiem uruchomienia ComboFix na takim XP jest dorobienie składników, których nie było. Prawdopodobnie poniższe usługi Windows w stanie nierozpoznanym to efekt końcowy tych "napraw". Niemniej zostawię je w spokoju. U5 Browser; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation) U5 lanmanserver; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation) U5 Messenger; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation) U5 Netlogon; C:\WINDOWS\system32\lsass.exe [13312 2014-04-20] (Microsoft Corporation) Wstępnie do wykonania następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj Adobe Flash Player 16 NPAPI. Nie dość, że stara wersje, to jeszcze dla Firefoxa, który tu nie jest zainstalowany. 3. Zresetuj cache wtyczek w Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-1220945662-1035525444-1417001333-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> S4 AIDA64Driver; \??\C:\Documents and Settings\Admin\Pulpit\aida64extreme460\kerneld.x32 [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S4 cpuz137; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\cpuz137\cpuz137_x32.sys [X] S4 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 eapihdrv; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\ehdrv.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\Program Files\AdwCleaner RemoveDirectory: C:\Qoobox RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\Windows Search.lnkCommon Startup CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj jaki masz model routera.

To odpowiada błędom z Dziennika zdarzeń. Jak wskazywałam, w systemie był także crack, który manipuluje z aktywacją Windows (a nie Office). Po czyszczeniu spróbujesz aktywować system przy udziale poprawnego klucza. Jeśli chodzi o usuwanie, wszystko zniknęło. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\MSI\AppData\Local\mpress RemoveDirectory: C:\WINDOWS\System32\Tasks\R@1n-KMS CMD: del /q "C:\Users\MSI\Downloads\[Electro-Torrent.pl] Microsoft Office Professional Plus 2016 PL v16.0.4266.1003 RTM [x86-x64] [iSO] + Aktywator v1.3.8.torrent" CMD: del /q "C:\Users\MSI\Downloads\Microsoft Office 2016 PRO Plus [PL] x32 x64 Klucz instrukcja aktywacji[Torrenty.org].torrent" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt.

Wszystko wygląda OK. Ostatnie kroki: 1. Otwórz Notatnik i wklej w nim: Task: {AF8F6EC3-B974-4FF9-930F-C9EF339EAFE5} - System32\Tasks\{2E182BA4-250E-457F-A7E5-9A9879CF7FA2} => c:\users\piotr nalewajko\appdata\local\browserair\application\browserair.exe FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_4; \??\C:\Program Files (x86)\MSI\Live Update\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). {Przedstaw wynikowyfixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix. To tyle.

Ten rodzaj infekcji został nabyty przy pobieraniu z któregoś portalu, przypuszczalnie dobreprogramy.pl: KLIK. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Bonjour, Gadu-Gadu 10, Java 7 Update 17, Java 8 Update 77. Również Chromium, jeśli nie było instalowane celowo. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0D33CDC0-F282-454A-90C3-9AF962DCE79F} - System32\Tasks\{1EBA0009-4404-4D71-BCF4-C8B623BF4A7E} => pcalua.exe -a "C:\Users\daria\AppData\Roaming\Enigma Software Group\sh_installer.exe" -c -r sh Task: {8F26C7E2-9388-4090-B30B-4F82F60B1EB9} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {A5343681-0E80-4513-A3FA-244DA523A189} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {D1771379-1A3A-4AD8-B2B2-8BA8FDE213E2} - System32\Tasks\{FFE90DBA-7721-4DA0-B43E-927B8AE4A2AD} => pcalua.exe -a "C:\Program Files\Mozilla Firefox\uninstall\helper.exe" Task: {EBCBFB83-D4BC-451F-A84A-51FDF7E59E43} - System32\Tasks\dariaFitsNonstructuralV2 => Rundll32.exe GlintPerfunctoriness.dll,main 7 1 S1 DritekPortIO; \??\C:\PROGRA~1\LAUNCH~1\DPortIO.sys [X] S1 GLogin; Brak ImagePath HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKU\S-1-5-21-1611919641-228698746-1015890716-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = BHO: Brak nazwy -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-09] DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24Update DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\Program Files\mozilla firefox\plugins RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses RemoveDirectory: C:\Users\daria\AppData\Local\FitsNonstructural RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\ALLPlayer Skin Creator.lnk C:\Users\daria\AppData\Local\*.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\daria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Coś tu się nie zgadza. Zadałam do usuwania wpisy yoursites123, Fix FRST zaraportował ich usunięcie, a one nadal są w ostatnim dostarczonym logu FRST... Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a15007-473&apn_uid=5555239400134351&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a15007-473&apn_uid=5555239400134351&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-785319261-2855401731-2711227746-1001 -> {7BD62F7F-9148-4D44-AD50-EB7F304C3DB5} URL = FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [brak pliku] CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S2 SafetyNutManager; C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe [X] S1 F06DEFF2-5B9C-490D-910F-35D3A91196222; \??\C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc3.cfg [X] S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Rodzice\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wprawdzie większość zadań wykonana, niemniej infekcje nadal czynne. Serwery DNS nie zostały poprawnie zedytowane - nadal stoją serwery infekcji. Dodatkowo, brak oznak by zostało wykonane czyszczenie przeglądarek Firefox i Opera. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{0A43B054-CF09-41EC-A96A-6B339C36B9BA}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{2182CF48-E448-481C-A35B-31C1239AA7FB}: [NameServer] 82.163.142.7 95.211.158.134 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Reimage Protector DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1 RemoveDirectory: C:\Users\Admin\.oracle_jre_usage RemoveDirectory: C:\Users\Admin\AppData\Local\Sparta RemoveDirectory: C:\Users\Admin\AppData\Local\Steam\htmlcache RemoveDirectory: C:\Users\Admin\AppData\LocalLow\Oracle RemoveDirectory: C:\Users\Admin\AppData\Roaming\Sun RemoveDirectory: C:\Users\Admin\AppData\Roaming\WarThunder CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Zaległe operacje do wdrożenia: 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

No tak, ale prosiłam też o nowe logi FRST (FRST.txt, Addition.txt, Shortcut.txt), które miałyby obrazować skuteczność procesów.

Trojany to skutki próby crackowania Office. Wygląda na to, że te detekcje BitDefender są pokłosiem zastosowania poniższego cracka, gdyż w raporcie pliki są listowane w tej samej linii czasowej. 2016-04-07 20:52 - 2016-04-07 20:52 - 00012032 _____ C:\Users\MSI\Downloads\[Electro-Torrent.pl] Microsoft Office Professional Plus 2016 PL v16.0.4266.1003 RTM [x86-x64] [iSO] + Aktywator v1.3.8.torrent Widać też ślady innych cracków i podejrzane obiekty, np. to: KLIK. W Dzienniku zdarzeń masz podobne błędy aktywacji: Dziennik Aplikacja: ================== Error: (04/08/2016 08:02:33 AM) (Source: Software Protection Platform Service) (EventID: 1062) (User: ) Description: Przenoszenie identyfikatora potwierdzenia nie powiodło się. 0xC004F02F Identyfikator jednostki magazynowej = de52bd50-9564-4adc-8fcb-a345c17f84f9 Error: (04/08/2016 08:00:13 AM) (Source: Software Protection Platform Service) (EventID: 1014) (User: ) Description: Pozyskanie licencji użytkowania nie powiodło się. hr=0x80072EE7 Identyfikator SKU=de52bd50-9564-4adc-8fcb-a345c17f84f9 Error: (04/08/2016 08:00:13 AM) (Source: Software Protection Platform Service) (EventID: 8200) (User: ) Description: Szczegóły błędu pozyskiwania licencji. hr=0x80072EE7 Wszystko zostanie zlikwidowane. Działania do przeprowadzenia: 1. Usuń wszystkie pobrane cracki. W miarę możliwości postaraj się odwrócić ich działanie, o ile dostarczają mechanizm odwracania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [22528 2016-04-07] () [brak podpisu cyfrowego] HKU\S-1-5-21-777929965-1544455550-2214287231-1004\...\Run: [WerFault] => C:\Users\MSI\AppData\Roaming\25067.exe [902144 2016-04-08] () IFEO\OSppSvc.exe: [Debugger] R@1n-Hook.exe S3 ptun0901; C:\Windows\System32\drivers\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) Task: {8F7775F2-65C7-40FF-BA36-E7F0A85E8652} - System32\Tasks\{6357AF70-4EBE-482A-97E5-D1A00B99FB4F} => pcalua.exe -a "C:\Program Files (x86)\The Elder Scrolls V Skyrim\TESV.exe" -d "C:\Program Files (x86)\The Elder Scrolls V Skyrim" Task: {E7B75E83-7EBF-4E52-914E-E2E08863F08E} - System32\Tasks\R@1n-KMS\KMS-Restart => start KMS-R@1n Task: {F02D46B2-385B-4014-B522-275FFC3F794C} - System32\Tasks\{CA0C064E-2BB3-4818-BCEC-B8769A35787F} => pcalua.exe -a "D:\Gry\Ryse Son of Rome\Bin64\Ryse.exe" -d "D:\Gry\Ryse Son of Rome\Bin64" Task: {FCEAFFF1-8302-4495-87AD-CCD4AD6B092A} - System32\Tasks\{BBCA40AC-428E-47FE-B1B4-D275C2DF1AE9} => pcalua.exe -a "D:\Gry\Insane 2\i2.exe" -d "D:\Gry\Insane 2" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\KMSAuto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim C:\Users\MSI\AppData\Local\Mozilla C:\Users\MSI\AppData\Local\MSfree Inc C:\Users\MSI\AppData\Roaming\*.exe C:\Users\MSI\AppData\Roaming\Mozilla C:\WINDOWS\KMS-R@1n.exe C:\WINDOWS\QAD-Hook.dll C:\WINDOWS\R@1n-Hook.exe C:\WINDOWS\system32\SppExtComObjHook.dll C:\WINDOWS\system32\SppExtComObjPatcher.exe C:\Windows\System32\drivers\ptun0901.sys Folder: C:\Users\MSI\AppData\Local\mpress Folder: C:\Users\MSI\AppData\Roaming\Xerox CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak wygląda sprawa aktywacji systemu.

Skąd było wiadomo, że plik WVM zainfekowany oraz jakie było jego źródło? Wyniki w skanie ESET nie mają związku ze zgłaszanym problemem, w większości to są ręcznie pobrane pliki (downloadery zamiast poprawnych instalatorów, crack ESET, sponsorowany instalator uTorrent per se) oraz jeden rekord w cache Google Chrome. W raportach nie widać żadnych oznak infekcji. Do wykonania tylko działania poboczne: 1. Odinstaluj stare wersje: Adobe Flash Player 16 NPAPI, Adobe Flash Player 19 ActiveX, Java 8 Update 25. 2. Wyczyść Firefox ze starych preferencji i sponsorowanych przekierowań Yahoo: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. W Google Chrome Ustawienia > karta Rozszerzenia > odinstaluj OneTab. To rozszerzenie kojarzone z instalacjami adware: PUP.Optional.OneTab. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {B6E6980B-0ED5-4115-A9C7-649A8D4EE2F0} - System32\Tasks\{13784B23-39D4-421D-A149-5FFE95DAC8D8} => pcalua.exe -a C:\Users\Lukasz\Downloads\WinSetupFromUSB-1-4.exe -d C:\Users\Lukasz\Downloads Task: {FC464D26-D0D9-4C67-B627-9C60F8A82C8F} - System32\Tasks\{5C0120C7-B382-480B-B8C7-F643AC9EA3FD} => pcalua.exe -a D:\dziadek\Adobe.Acrobat.Pro.X.v10.0.Multilingual.Incl.Keymaker-CORE\setup.exe -d D:\dziadek\Adobe.Acrobat.Pro.X.v10.0.Multilingual.Incl.Keymaker-CORE HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" S3 btwampfl; \??\C:\Windows\system32\drivers\btwampfl.sys [X] S3 btwaudio; system32\drivers\btwaudio.sys [X] S3 btwavdt; system32\drivers\btwavdt.sys [X] S3 btwl2cap; system32\DRIVERS\btwl2cap.sys [X] S3 btwrchid; system32\DRIVERS\btwrchid.sys [X] SearchScopes: HKU\S-1-5-21-595839063-1318309793-2819938948-1000 -> {63C1A194-4CFF-4C89-A061-E7331C825C71} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=639975&p={searchTerms} CHR HKU\S-1-5-21-595839063-1318309793-2819938948-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ABBYY.Licensing.FineReader.Corporate.10.0 C:\Users\Lukasz\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\GuestUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wireshark 2 Preview.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są mi potrzebne.

Problemem jest szkodliwe proxy. Poza tym, jest tu niepoprawnie odinstalowany McAfee. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Anvi Smart Defender 2.5 (program słaby i nie można pokładać w nim duże wiary) i Java 8 Update 31. 2. Zastosuj firmowe narzędzie McAfee Consumer Product Removal Tool. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: CMD: netsh advfirewall reset CMD: type C:\Windows\System32\Tasks\updzteuudc Task: {1B16749A-BE0A-47DD-ACC1-D5D46199A274} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {347F7299-C9AA-4DE6-98C2-0ED4961AE2D7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {63F1B8DB-078E-4397-A177-2059412DAE13} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {892E9F0C-FD46-42CE-ABD1-08FB72CDFCAE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {893E5D7C-438C-40C4-811F-830C01A4254C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {97AE2CD8-1352-4D87-902C-125167EF6ED7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {A28E03CD-56B5-4920-8CEA-EFE3D71130E3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {A71E8476-FEE5-4184-B2FA-9F5D01EF1A8A} - System32\Tasks\updzteuudc => C:\WINDOWS\system32\config\systemprofile\AppData\Local\Dripcom Task: {B352A389-DCA8-43BB-BD19-368893803F87} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C1FA1237-DF7D-4D25-B9A4-2952DB50E5F6} - System32\Tasks\{41A045E6-43D8-4C16-8A45-A22E9E5C17E4} => pcalua.exe -a "C:\Program Files (x86)\Codex\unins000.exe" Task: {D7149797-D8D6-4B06-87B1-F76EB579CCDC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {EC7904AD-7307-4E26-806E-68D4F6AEA141} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {F04FA09C-4926-4585-8FCE-45F984CD3735} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: C:\WINDOWS\Tasks\0215avUpdateInfo.job => C:\ProgramData\Avg_Update_0215av\0215av_AVG-Secure-Search-Update.exe Task: C:\WINDOWS\Tasks\0415avUpdateInfo.job => C:\ProgramData\Avg_Update_0415av\0415av_AVG-Secure-Search-Update.exe Task: C:\WINDOWS\Tasks\0814avUpdateInfo.job => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe Task: C:\WINDOWS\Tasks\1114avUpdateInfo.job => C:\ProgramData\Avg_Update_1114av\1114av_AVG-Secure-Search-Update.exe Task: C:\WINDOWS\Tasks\1214avUpdateInfo.job => C:\ProgramData\Avg_Update_1214av\1214av_AVG-Secure-Search-Update.exe S3 taphss6; C:\Windows\system32\DRIVERS\taphss6.sys [42184 2014-05-17] (Anchorfree Inc.) S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1746903869-1034927394-1705615177-1002 -> {C4421CA8-A397-469A-810A-5C2DDFCC146B} URL = FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku] Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v TCrdMain /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v TosWaitSrv /f DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Unlocker RemoveDirectory: C:\Program Files\Common Files\a0yzwzjb RemoveDirectory: C:\Program Files\Common Files\nl4mx2dx RemoveDirectory: C:\Program Files\Common Files\gan15tfy RemoveDirectory: C:\Program Files\Common Files\itlsil30 RemoveDirectory: C:\Program Files\Common Files\wok2forz RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\ProgramData\AVG2015 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Gamblers RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics RemoveDirectory: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker RemoveDirectory: C:\Users\Krystian\Doctor Web C:\Users\Krystian\AppData\Local\Dalttech.dat C:\Users\Krystian\AppData\Local\Dalttech.exe.config C:\Users\Krystian\AppData\Roaming\Microsoft\*.* C:\Users\Krystian\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Krystian\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word%20(2304830131898669691\Nowy%20Dokument%20programu%20Microsoft%20Word%20(2).docx.lnk C:\Users\Krystian\Desktop\Początkowy pulpit\McAfee LiveSafe – Internet Security.lnk C:\Users\Krystian\Desktop\Początkowy pulpit\WildTangent Games App - toshiba.lnk C:\Users\Krystian\Desktop\trainery\FMRTE 15 cracked by LotsTerror\FMRTE 15\miniFMRTE.lnk C:\Windows\system32\Drivers\taphss6.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Twoja instalacja pochodzi z modyfikowanej płyty XP i nie zaktualizujesz systemu w taki sposób jak normalnego XP. Nawet jeśli uzupełnisz podstawowe instalacje SP3 i IE8, to i tak będzie brakować ogromnej ilości łat. Taki nieaktualizowany system to bomba zegarowa. Tu to w ogóle trzeba myśleć o całkowitym porzuceniu XP. W tym samym linku który podałam jest rozwinięcie tego tematu: KLIK. Z tym, że widać w raporcie, że komputer ma słabe parametry i zapewne nie spełnia warunków dla nowszego systemu. To nie ma znaczenia, że przeglądarki nie używasz, i tak jej silnik jest utylizowany przez określone programy. W linku, który podałam jest to wyraźnie zaznaczone. Być może to problem braku pakietu SP3. Obecnie wiele aplikacji nie działa na XP bez SP3.

Żadnych oznak w raportach, że problem tworzy infekcja. Sugestie: - Jeśli po zainstalowaniu nowych sterowników pojawiły się BSODy i spowolnienie systemu, to nasuwa się, iż problem tworzą te konkretne sterowniki. Wprawdzie użyłeś Przywracanie systemu, ale na XP to jest słaby mechanizm i może stan nie został odkręcony. - Był uruchamiany GMER. Upewnij się, że transfer dysku nie spadł do PIO: KLIK. - Widzę że pojawił się nowy sterownik SPTD, pomimo że w systemie w ogóle nie ma programów Alcohol i DAEMON Tools. Tak jakby został przez Ciebie omyłkowo zainstalowany podczas sprawdzania czy istnieje. Skorzystaj z SPTDinst, by się go pozbyć: KLIK. - Skoro pogorszył się także stan Avast, to spróbuj go przeinstalować. Tu i tak jest starsza wersja 10.2.2218. Bez związku z powyższym. To drobne wpisy rejestru i obiekty na dysku, które prawdopodobnie grzały miejsce od sporego czasu, bo w wynikach stare infekcje adware. Ich zakres działania minimalny i na pewno to nie jest przyczyna opisywanych objawów. Czyli tylko drobne doczyszczanie szczątków adware, pustych wpisów i skrótów: 1. Odinstaluj stare wersje: Adobe Flash Player 20 ActiveX, Java 7 Update 60, Pando Media Booster, Quake Live Mozilla Plugin. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Star Wars - The Old Republic.lnk -> D:\GTA SA\Star Wars-The Old Republic\launcher.exe (BioWare) -> hxxp://www.istartsurf.com/?type=sc&ts=1446068732&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=GOODRAMXC50_FF1A07391E9700075851 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Paragon Backup & Recovery™ 2013 Free\Paragon Backup & Recovery™.lnk -> C:\Program Files\Paragon Software\Backup and Recovery 2013 Free\program\launcher.exe (Paragon Software Group) -> hxxp://www.istartsurf.com/?type=sc&ts=1446068732&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=GOODRAMXC50_FF1A07391E9700075851 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk -> D:\GTA SA\Star Wars-The Old Republic\launcher.exe (BioWare) -> hxxp://www.istartsurf.com/?type=sc&ts=1446068732&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=GOODRAMXC50_FF1A07391E9700075851 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446068732&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=GOODRAMXC50_FF1A07391E9700075851 StartMenuInternet: chrome.exe - C:\Documents and Settings\Mafia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2025429265-343818398-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Task: C:\WINDOWS\Tasks\Install.job => C:\WINDOWS\system32\Macromed\Shockwave 10\nssstub.exeKC:\WINDOWS\system32\Macromed\Shockwave 10\nssstub.exe S2 HiPatchService; C:\Program Files\Hi-Rez Studios\HiPatchService.exe [X] S2 lwsvc_1.10.0.14; "C:\Program Files\LinkWiz_1.10.0.14\Service\lwsvc.exe" [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 GPU-Z; \??\C:\DOCUME~1\Mama\USTAWI~1\Temp\GPU-Z.sys [X] DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E104B9E4-01BA-4AAF-9957-6A525CC5451A} DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupregAdobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupregSunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupregvProt DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uininstall\istartsurf uninstall DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Reg\Clean DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\LWSVC_1.10.0.14 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\dobreprogramy DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\CHCT3316632 DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\Mozilla DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\MozillaPlugins DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\PRODUCTSETUP RewmoveDirectory: C:\Documents and Settings\Administrator C:\Documents and Settings\All Users\Dane aplikacji\HirezPipeError.txt C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Dane aplikacji\5WMiniPro5 C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F37AC0D7-F99F-4ADE-B918-3E009176A282} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{E777ED4E-BE07-4365-BF57-C1CA826EE6B3} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{A26E83A1-D41F-4F04-A1CA-14C178997F80} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{856C2614-E1C0-4E29-9F09-5445BAF2686C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{856C2614-E1C0-4E29-9F09-5445BAF2686C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{663B6C99-3FC5-4B0B-AE57-5B4665C0D4A9} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{6405872C-E769-4D0E-A127-0D1F3DBBD38E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{63DB6E6F-21D1-4804-BDD7-9EE8611340AB} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{63491590-9970-4EB2-B601-1293B70C85E3} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{43D7D07C-0B82-41B2-8CAF-4DFBFCD3DF75} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3977AB78-8B53-419A-A64B-E7AF4B1513FA} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{2ED2D271-58B7-443B-BA4B-FB7A7995FEE5} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{20722B42-E9F8-40AD-AD2B-327F7F4EB38F} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{1E2F8F67-F2A3-4D58-A8E1-7230B963BD8A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{13E32A11-12DD-4AD9-87F3-4AB93527D32C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{10DEDC07-8413-4032-B21A-5B94111F05B9} C:\Documents and Settings\All Users\Menu Start\Programy\Battle.net C:\Documents and Settings\All Users\Menu Start\Programy\Fraps C:\Documents and Settings\All Users\Menu Start\Programy\Gimnazjum klasa 3 - Puls zycia C:\Documents and Settings\All Users\Menu Start\Programy\HEXelon MAX 6 C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Games for Windows Marketplace C:\Documents and Settings\All Users\Pulpit\Battle.net.lnk C:\Documents and Settings\All Users\Pulpit\Fraps.lnk C:\Documents and Settings\All Users\Pulpit\Gimnazjum klasa 3 - Puls życia.lnk C:\Documents and Settings\Mafia\Dane aplikacji\istartsurf C:\Documents and Settings\Mafia\Menu Start\Programy\InfiniteCrisis c:\documents and settings\Mafia\Pulpit\face-off-max-22576-dp.exe C:\Documents and Settings\Mafia\Pulpit\Gry\Killing Floor.lnk C:\Documents and Settings\Mafia\Pulpit\Gry\Narzędzia Taty\*Torrent.lnk C:\Documents and Settings\Mafia\Local Settings C:\Documents and Settings\Mama\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\TuneUp Utilities 2013.lnk C:\Documents and Settings\Mama\Local Settings C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\http_www.istartsurf.com_0.localstorage C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\The_Game_Creators_Ltd C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zainstaluj Internet Explorer 8. Link w przyklejonym w sekcji aktualizacji aplikacji: KLIK. 5. W systemie są dwa konta Mafia (z tego zostały dostarczone logi) oraz Mama. Na koncie Mafia zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Natomiast na Mama włącznie z Addition. Plik Shortcut nie jest mi w ogóle potrzebny już. Dołącz też plik fixlog.txt.

Wszystko pomyślnie przeprowadzone. Na koniec zastosuj DelFix. A pobrany GMER skasuj ręcznie, DelFix go nie wykryje. Nie, to nie ma w ogóle związku z drobnym hijackerem yoursites123, ani żadną inną infekcją. Rekord ten w GMER odnosi się do Usługi inteligentnego transferu (BITS) związanej z Windows Update. Oznaczanie tej usługi jako "rootkit" wygląda na fałszywy alarm GMER. Być może usługa była w stanie zawieszenia podczas skanu. Nic nie wskazuje, by był tu problem infekcji w tym obszarze. Service C:\WINDOWS\System32\qmgr.dll (*** hidden ***) [AUTO] BITS

Pliki {RecOveR}* zostały wyprodukowane przez infekcję szyfrującą dane w wariancie TeslaCrypt 4.0. Więcej na temat tej infekcji: KLIK. Jedna z dróg infekcji to niezałatane luki w Adobe Flash i widzę w Twoim logu powiązany obiekt CustomCLSID {F6BF8414-962C-40FE-90F1-B80A7E72DB9A}: KLIK. Szyfrowaniu podlegały dane na wszystkich dyskach, a ich masz sporo. Nie jestem w stanie określić stopnia zaszyfrowania dysków, ale obawiam się, że proces wykonał się w stopniu całkowitym. W tym wariancie Tesla nawet nie da się rozpoznać po nazwie, że pliki zostały zaszyfrowane, problem jest demaskowany dopiero przy ich otwieraniu. Te pliki, które zgłaszają błędy otwierania, są zaszyfrowane i nic z nimi nie da się zrobić. Odszyfrowanie danych jest awykonalne bez uiszczenia opłaty przestępcom. Jeśli nie miałeś w bezpiecznym miejscu kopii zapasowej, dane zostały utracone. W Twojej sytuacji jedyna droga to próba skorzystania z jakiegoś programu do odzyskiwania danych (uruchomionego z innego dysku niż obecnie podpięte), tylko że szanse są marne. Jedyne co w mojej gestii leży, to doczyszczenie śladów infekcji per se, czyli pustych już wpisów uruchomieniowych oraz nabitych masowo na wszystkich dyskach plików {RecOveR}*. Na dalszą metę zalecany kompleksowy format. Pod kątem doraźnego doczyszczania: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 19 NPAPI, Adobe Flash Player 20 ActiveX, Java 8 Update 73 (64-bit), Java SE Development Kit 7 Update 79 (64-bit), Java SE Development Kit 8 Update 31 (64-bit), Java SE Development Kit 8 Update 60 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1901158508-4074526197-3263088995-1001_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\wcnwiz.dll => Brak pliku HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-uccqjy] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe" HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-wkuqin] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe" HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-bmuvsu] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe" HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-bltrqu] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe" FF Extension: Collection of all the available BDA Tuning Model Tuning Space objects on this system - C:\Users\Janusz\AppData\Roaming\Mozilla\Firefox\Profiles\ljcw3rwa.default\Extensions\{D01B57A2-FBE5-9A12-1378-7E996E4B4BA6} [2016-04-02] [brak podpisu cyfrowego] CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=113480&tt=2912_2&babsrc=HP_ss&mntrId=9c3a50d8000000000000001a4d0f94dd","hxxp://istart.webssearches.com/?type=hp&ts=1420656507&from=kmp&uid=WDCXWD800JB-00JJA0_WD-WCAM91714338","hxxp://www.oursurfing.com/?type=hp&ts=1442263354&z=28be9d751cf9fb79f3937acg8zezaoeobq1c4c9o8z&from=amt&uid=WDCXWD800JB-00JJA0_WD-WCAM91714338" CHR DefaultSearchURL: Default -> hxxp://www.smarter.yt HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Task: {484A9BFA-88C1-403F-995C-AF2B23AA3E1D} - System32\Tasks\{CCBD4E4C-04C2-4412-99BC-87AC2A211535} => pcalua.exe -a N:\Gry\disk1\setup.exe -d N:\Gry\disk1 Task: {679E111F-3EA2-4116-8DAB-FE1FB94786DE} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET Smart Security 8.0\upgrade.exe [2016-04-02] (ESET) Task: {F346DF8C-4E00-4426-9A2C-D14D3803C32D} - System32\Tasks\{DEF6CEFA-7F7A-4F3F-A4D3-BCB7BB5914BD} => E:\Gry\Baldur's Gate 2\BGMain.exe S1 Capsax64Drv0; System32\Drivers\Capsax64Drv0.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 CSN5PDTS82; System32\Drivers\CSN5PDTS82.sys [X] S1 CSN5PDTS82x64; System32\Drivers\CSN5PDTS82x64.sys [X] S1 CsNdisLWF; System32\Drivers\CsNdisLWF.sys [X] S1 EIO64; system32\DRIVERS\EIO64.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes AlternateDataStreams: C:\Users\Janusz\Local Settings:init [5748438] AlternateDataStreams: C:\Users\Janusz\Ustawienia lokalne:qkJJrt7pPhX46n6UWw9n1Pgz [2920] AlternateDataStreams: C:\Users\Janusz\AppData\Local:qkJJrt7pPhX46n6UWw9n1Pgz [2920] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\Program Files\Common Files\AV\ESET Smart Security 8.0 RemoveDirectory: C:\Program Files (x86)\baidu RemoveDirectory: C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} RemoveDirectory: C:\ProgramData\Baidu RemoveDirectory: C:\ProgramData\ESET RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Isle RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cities Skylines RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HoMM3 HD RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\O22y Inc RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\rFactor RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Starcraft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin Powrót Białego Wilka RemoveDirectory: C:\Users\Janusz\AppData\Local\Microsoft\Windows\GameExplorer\{248ABB68-6A73-4369-8EC2-C7409CDF2C88} RemoveDirectory: C:\Users\Janusz\AppData\Local\Microsoft\Windows\GameExplorer\{7EA5ECA9-2125-43F5-A8AD-5C56210609CA} RemoveDirectory: C:\Users\Janusz\AppData\Local\Microsoft\Windows\GameExplorer\{AD453081-50D0-43DF-B519-88A209FF88BE} RemoveDirectory: C:\Users\Janusz\AppData\Roaming\ESET RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Gothic RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash RemoveDirectory: C:\Users\Public\Documents\Baidu C:\Users\Janusz\AppData\Local\ACCCx2_9_0_465.zip.aamdownload.aamd C:\Users\Janusz\AppData\Roaming\Adobe-Japan1-4 C:\Users\Janusz\AppData\Roaming\cyan bl 2.ADO C:\Users\Janusz\AppData\Roaming\Title_select-highlight.png C:\Users\Janusz\AppData\Roaming\YauponFilmographySelfdirector C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2e9b73709efe5cec\MATLAB R2011a.lnk C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\98de95ded41d25b0\MATLAB R2013b.lnk C:\Users\Public\Desktop\Wiedźmin Powrót Białego Wilka.lnk C:\Users\Janusz\Documents\Adobe\After Effects CS6\User Presets\(Adobe).lnk CMD: netsh advfirewall reset CMD: attrib -r -h -s C:\{RecOveR}* /s CMD: attrib -r -h -s D:\{RecOveR}* /s CMD: attrib -r -h -s E:\{RecOveR}* /s CMD: attrib -r -h -s F:\{RecOveR}* /s CMD: attrib -r -h -s G:\{RecOveR}* /s CMD: attrib -r -h -s J:\{RecOveR}* /s CMD: attrib -r -h -s N:\{RecOveR}* /s CMD: del /q /s C:\{RecOveR}* CMD: del /q /s D:\{RecOveR}* CMD: del /q /s E:\{RecOveR}* CMD: del /q /s F:\{RecOveR}* CMD: del /q /s G:\{RecOveR}* CMD: del /q /s J:\{RecOveR}* CMD: del /q /s N:\{RecOveR}* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog prawdopodobnie będzie ogromny i nie zmieści się w załączniku - w takim przypadku shostuj go na jakimś zewnętrznym serwisie i podaj link do pliku.

Wprawdzie nie ma raportu Fixlog, ale w nowych skanach FRST jest dowód, że infekcja została pomyślnie usunięta. Jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wprawdzie poprzednie zadania wykonane, ale w międzyczasie pojawiły się nowe obiekty adware (niejaki Search Manager w Google Chrome). Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR DefaultSearchURL: Default -> hxxp://srch.bar/{searchTerms} CHR DefaultSuggestURL: Default -> hxxp://srch.bar/?s={searchTerms} CHR HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bahkljhhdeciiaodlkppoonappfnheoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bahkljhhdeciiaodlkppoonappfnheoi] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://uk.search.yahoo.com/yhs/web?hspart=itm&hsimp=yhs-001&type=jmb_nrssi_16_11&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dgb%26pa%3DJoomborio%26cd%3D2XzuyEtN2Y1L1QzuzztDtCzytAyE0DtByD0DtA0Azy0A0E0CtN0D0Tzu0StCyDyEtDtN1L2XzutAtFtCzytFtAtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StA0F0BtA0E0Bzz0EtGtAtD0BzztGtByD0C0DtGtC0B0ByDtGzyyE0CtDyDyDyEtAtBzy0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEzy%26cr%3D173393200%26a%3Djmb_nrssi_16_11%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome SearchScopes: HKLM -> {73cd434e-8e1e-46b6-bb8d-7dd935140717} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=itm&hsimp=yhs-001&type=jmb_nrssi_16_11&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DJoomborio%26cd%3D2XzuyEtN2Y1L1QzuzztDtCzytAyE0DtByD0DtA0Azy0A0E0CtN0D0Tzu0StCyDyEtDtN1L2XzutAtFtCzytFtAtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StA0F0BtA0E0Bzz0EtGtAtD0BzztGtByD0C0DtGtC0B0ByDtGzyyE0CtDyDyDyEtAtBzy0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEzy%26cr%3D173393200%26a%3Djmb_nrssi_16_11%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {73cd434e-8e1e-46b6-bb8d-7dd935140717} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=itm&hsimp=yhs-001&type=jmb_nrssi_16_11&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DJoomborio%26cd%3D2XzuyEtN2Y1L1QzuzztDtCzytAyE0DtByD0DtA0Azy0A0E0CtN0D0Tzu0StCyDyEtDtN1L2XzutAtFtCzytFtAtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StA0F0BtA0E0Bzz0EtGtAtD0BzztGtByD0C0DtGtC0B0ByDtGzyyE0CtDyDyDyEtAtBzy0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEzy%26cr%3D173393200%26a%3Djmb_nrssi_16_11%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe S2 0169341459181846mcinstcleanup; C:\WINDOWS\TEMP\016934~1.EXE -cleanup -nolog [X] S2 jhi_service; "C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe" [X] C:\Program Files (x86)\Java C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Oracle C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java C:\Users\stan\.oracle_jre_usage C:\Users\stan\AppData\Roaming\dlg C:\Users\stan\AppData\Roaming\Sun C:\Users\stan\Desktop\Goodgame Empire.lnk C:\WINDOWS\951d4bd064ca6b979e1db2f42a3b5e85.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt dwa: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Search Manager, o ile nadal będzie widoczny po użyciu w/w skryptu. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), tym razem poproszę też o Addition. Dołącz też plik fixlog.txt.

1. Jeśli chodzi o DivX, uruchom Zoek. W oknie wklej: DivX Setup;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po ręcznej zmianie nazwy z *.log). 2. I brakuje głównego skanu FRST.txt. Dołącz.

Są aktywne szkodliwe usługi CloudPrinter i Holdtam, które nakładają modyfikacje, szkodliwe serwery DNS (izraelskie), zmodyfikowane skróty niektórych aplikacji i inne szczątki adware. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP i stare wersje: Amazon Assistant, AnySend, DivX Setup, Java 8 Update 77. 2. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [1067520 2016-04-04] () [brak podpisu cyfrowego] R2 Holdtam; C:\ProgramData\\Holdtam\\Holdtam.exe [1067520 2016-04-04] () [brak podpisu cyfrowego] U3 idsvc; Brak ImagePath AppInit_DLLs: C:\ProgramData\Holdtam\Nimron.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Holdtam\Cofity.dll => Brak pliku HKLM-x32\...\Run: [V0420Mon.exe] => C:\WINDOWS\V0420Mon.exe HKLM-x32\...\Run: [CTxfiHlp] => CTXFIHLP.EXE HKLM-x32\...\Run: [startCCC] => "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\...\Run: [bingSvc] => C:\Users\mcm\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-02-17] (© 2015 Microsoft Corporation) HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\...\Policies\Explorer: [] Task: {02583360-AF7A-43DF-B223-36A95511DF0C} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {099EB959-9C19-47FB-A53C-BF6F2D7CE490} - System32\Tasks\DistromaticSearchProtect-hourly => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2016-04-03] (Distromatic) Task: {09A3FC14-3C34-49F0-87F5-7A930A81E900} - System32\Tasks\{439809D6-2943-4805-9BEA-CD86198E9DF3} => C:\Users\mcm\Desktop\Nowy folder (4)\7.exe Task: {0C97CF1D-B6ED-43CF-9946-3208FD6BD6A5} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {0FB53F39-4E5D-4A6A-B59A-72AC813489F5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {10CF3CB3-96C1-4144-AE9B-365AFE3C92FE} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {173A7D53-0D9D-442C-9D81-F755CD22F868} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {194091DB-6B39-44BA-A570-797C2CCABDD7} - System32\Tasks\{3C0A3120-28AA-45F3-BEB9-A1FE1E367AD8} => C:\Users\mcm\Desktop\Super_Bros_3_Mario_Forever_v44\Super_Bros_3_Mario_Forever_v44.exe [2009-08-24] () Task: {1DF67A45-1695-45C6-A4AF-2D19A945A584} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {27B334F2-F9EC-47FC-9D38-E32825EC4CA8} - System32\Tasks\{30C00A70-6EC4-4E36-87E3-AC27B8E03B75} => C:\Users\mcm\Desktop\Super_Bros_3_Mario_Forever_v44\Super_Bros_3_Mario_Forever_v44.exe [2009-08-24] () Task: {28B6C3E6-CE7C-4A45-9F13-800D995DAC93} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {32318E8B-07F0-4A86-B952-8B76D5C03696} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {3A2E4597-0EFF-40BC-A10A-65A2BEA122A3} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {45B45203-E3A1-41E2-97E2-9C37151C3562} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {47985437-2077-4EC6-A6E6-E6CA14CF05AF} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {4C84FF85-3F09-45F8-A92A-F6C77AC6D5DE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {4CDE85F3-5AF5-4D49-82B7-A3A346F0137F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {52BDF3D3-63B3-41CD-BD88-062D63949288} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {61672D6F-6CAF-4785-B0D7-9A46971F8E19} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {669947B6-DB0F-4F18-AD2A-D3554AFA4796} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6EB568EB-4F76-4957-B6B5-F22C23DA3157} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {71241447-0BAF-461C-A2B0-2646F03D3779} - System32\Tasks\{9C0BD9AC-D858-409A-BA7E-26AA9F23456A} => C:\Users\mcm\Desktop\Super_Bros_3_Mario_Forever_v44\Super_Bros_3_Mario_Forever_v44.exe [2009-08-24] () Task: {725934DF-FC37-435E-9CB7-C5025E49ABBA} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {74CCAD7C-AA67-44E3-ABEF-13C9BFB48101} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {8A1C854A-960D-49D5-B591-E62AF1D6875E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8A4E308E-A583-4CCB-AF9B-498112696325} - System32\Tasks\{0F98AC7B-6A9A-4E1E-B3A7-0AEE82180731} => C:\Users\mcm\Desktop\Nowy folder (4)\7.exe Task: {8CEF672E-AC9B-4625-97AD-8C162869A853} - System32\Tasks\DistromaticUpdater-logon => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2016-04-03] (Distromatic) Task: {92D09E66-FC71-45F4-8AA2-AF3CE7E1BA45} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {941DD02D-F261-4002-BF1E-2107FCF918E5} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {9E014ADD-5893-47CB-81D1-576854547807} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {A0435904-9F41-4304-ADF8-578FA7B16CD4} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {A32AE0E3-E42B-4D79-9BA0-56B7FD2AE9F3} - System32\Tasks\{47883E3F-5889-4B1B-9B45-86E9AD5F5D0C} => C:\Users\mcm\Desktop\Super_Bros_3_Mario_Forever_v44\Super_Bros_3_Mario_Forever_v44.exe [2009-08-24] () Task: {A5AA89E1-A027-4195-AD69-603166BC447A} - System32\Tasks\DistromaticSearchProtect-logon => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2016-04-03] (Distromatic) Task: {C6C83A98-92CD-4348-B023-A67387110E67} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D0278C9A-15F0-4752-8F65-846997BC5460} - System32\Tasks\DistromaticUpdater-periodic => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2016-04-03] (Distromatic) Task: {DAD63D61-50F8-4514-A074-A8626A27F3D1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E10C6C76-95D5-4833-9D25-ED4FAD0B3D61} - System32\Tasks\AMD Updater => C:\Program Files\AMD\CIM\\Bin64\InstallManagerApp.exe Task: {E2B0ACC8-A4EF-431B-B8F6-7E77F862249A} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {E5AF5A54-27FA-4AA0-9330-C4F1853B408F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {E7372F2B-B1CE-41A2-8901-23C82FA29303} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {E73D1E43-6DB5-4313-A7DA-35F9F7DFEA2C} - System32\Tasks\{9F67B492-B781-47A7-8E26-42FE6F8E731D} => C:\Users\mcm\Desktop\Nowy folder (4)\7.exe Task: {E76659E6-BF67-4B60-A182-1452E458112E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E7897ED3-FBBA-4E3D-89BF-3059F2DD067B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {F5C5B404-AF7F-45AC-9616-D4C4582D365E} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {F8F10ACB-43B3-47CB-9DAD-4E304D4D5CA8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {FCE40885-E2CA-408A-839E-2AEAF5BB330E} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqYrGozg4jIXxrOtcH1gpHwwv4l3NsJdrvmWP1HDmacmcLRJqOGxtZ0FhOLYa-SLdxKzpsChO4Ii64g_7MpIOTdKJB0Oum HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} SearchScopes: HKU\S-1-5-21-2182520945-4177100033-1416620387-1002 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} SearchScopes: HKU\S-1-5-21-2182520945-4177100033-1416620387-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-2182520945-4177100033-1416620387-1002 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\mcm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk -> C:\Program Files (x86)\WarThunder\launcher.exe (Gaijin Entertainment) -> "hxxp://trustedsurf.com/?ssid=1459791075&a=1046500&src=sh&uuid=96b22a27-d781-4dbf-9898-13ffff1918c9" ShortcutWithArgument: C:\Users\mcm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1459791075&a=1046500&src=sh&uuid=96b22a27-d781-4dbf-9898-13ffff1918c9" ShortcutWithArgument: C:\Users\mcm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\WarThunder.lnk -> C:\Program Files (x86)\WarThunder\launcher.exe (Gaijin Entertainment) -> "hxxp://trustedsurf.com/?ssid=1459791075&a=1046500&src=sh&uuid=96b22a27-d781-4dbf-9898-13ffff1918c9" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\1F00D960-1459791190-0100-963E-20CF3039C9E7 C:\ProgramData\9b250fd3-0027-0 C:\ProgramData\9b250fd3-7067-1 C:\ProgramData\CloudPrinter C:\ProgramData\HitmanPro C:\ProgramData\Holdtam C:\ProgramData\Holdtams C:\ProgramData\TEMP C:\Users\mcm\AppData\Local\Microsoft\BingSvc C:\Users\mcm\AppData\Roaming\*.* C:\Users\mcm\AppData\Roaming\ASPackage C:\Users\mcm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage C:\Users\mcm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CNext.lnk C:\Windows\isRS-000.tmp C:\Windows\ehome C:\Windows\system32\Drivers\09171449.sys C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\Windows\SysWOW64\findit.xml RemoveDirectory: C:\Users\mcm\Desktop\Stare dane programu Firefox Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v vmware-tray.exe /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Akcje pomyślnie wykonane, ale pojawiły się nowe obiekty adware (polityki Google Chrome). Poprawki: 1. Otwórz Notatnik i wklej w nim: GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction BHO-x32: Wander Burst -> {0f4e02f8-f10e-493d-a1a7-3aed7ba7b110} -> C:\Program Files (x86)\Wander Burst\Extensions\0f4e02f8-f10e-493d-a1a7-3aed7ba7b110.dll => No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien zostać wywołany restart. Jeśli nie, zainicjuj go ręcznie. Przedstaw wynikowy log fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

To nie są oryginalne zapisane przez FRST na dysku logi, tylko zniekształcone wersje. Zrobiłeś nowe pliki w złym kodowaniu ANSI (oryginały są w UTF-8). Na temat pobierania z dobrychprogramów: KLIK. W raportach widać jedynie ślady adware w preferencjach Firefox. Działania do przeprowadzenia: 1. Odinstaluj starą wersję Java 8 Update 66 (64-bit). 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {9D34A7C4-3C4B-4BE7-88BF-504AE203BB3B} - System32\Tasks\{9D69DE85-2B21-4999-8F2E-B282586996C6} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?page=tsMain DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-21-752980834-4026949763-570849984-1002\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\ProgramData\APN RemoveDirectory: C:\Users\G580\Doctor Web RemoveDirectory: C:\Users\G580\AppData\Local\Google RemoveDirectory: C:\Users\G580\AppData\Roaming\IHlpr RemoveDirectory: C:\Users\G580\AppData\Roaming\WarThunder C:\Users\G580\AppData\Roaming\*.* C:\Users\G580\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\G580\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7111c0ce965b7246\Battle.net.lnk C:\Users\G580\AppData\Roaming\Skype\My Skype Received Files\Arrivatrainswales_ Train tickets, travel information, train times and train timetables.pdf.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Proszę na wszelki wypadek dodaj nowe raporty z FRST. Aktualizacja Windows 7 do Windows 10 zachowuje wiele danych (np. profile przeglądarek).

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe raporty: KLIK.

Dlatego w instrukcji tworzenia raportu jest wyraźnie napisane, by zawartość przekopiować do Notatnika i ręcznie zapisać plik, a nie używać bezpośredniego przycisku zapisu raportu. Problemem jest infekcja serwerów DNS. Wszędzie ustawione izraelskie serwery: KLIK. Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2dab2063-87ab-445d-b08a-53fbc60ee0f5}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2dab2063-87ab-445d-b08a-53fbc60ee0f5}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{4b31ff13-63c6-4296-8b18-f6417aa595aa}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{4b31ff13-63c6-4296-8b18-f6417aa595aa}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{91065409-b268-4577-a4cd-6eb2e6d0736f}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{e325ae77-ebc4-43ee-87e1-9f3599775999}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{e325ae77-ebc4-43ee-87e1-9f3599775999}: [DhcpNameServer] 82.163.143.171 Ten efekt z kolei wynika z wprowadzonej przez adware polityki ograniczeń. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2dab2063-87ab-445d-b08a-53fbc60ee0f5}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2dab2063-87ab-445d-b08a-53fbc60ee0f5}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{4b31ff13-63c6-4296-8b18-f6417aa595aa}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{4b31ff13-63c6-4296-8b18-f6417aa595aa}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{91065409-b268-4577-a4cd-6eb2e6d0736f}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{e325ae77-ebc4-43ee-87e1-9f3599775999}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{e325ae77-ebc4-43ee-87e1-9f3599775999}: [DhcpNameServer] 82.163.143.171 GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3208777371-2295436043-2049818682-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://g.msn.com/1me10IE11PLPL/MCM_WCP SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Task: {010CE5DE-B1A0-49CE-98F5-B85B9F498E78} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {021C275C-AD29-412B-B552-B83A27E1C75B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {05F6D1E1-4D3C-45EB-A9D2-2512457ACA64} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {060117F8-9B84-4AD9-9F40-FCADCCFD064C} - \Drv Update -> Brak pliku Task: {0A43D1AC-91EF-4425-BFEA-0F9E9376A1F0} - \9A5A8340-6B15 -> Brak pliku Task: {0DF9CCC1-A840-492E-ADAF-DA34CD1F4009} - System32\Tasks\{2863E7B3-6DCD-4B03-AAEF-33E8E0748646} => Chrome.exe Task: {13267BFA-EDD7-4BAA-92E1-708881FDE3E7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {135E1C4E-E204-4EF1-88D6-EA3D418F5F34} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {25612A88-1855-4B1E-8086-AEF9F14DD506} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {29FA0FB2-98DB-4058-8E63-14D4F86777FD} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {2D776525-AC45-41EA-A909-CB0FF72FD7EA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2DDAD9A6-F92F-4F26-88A7-A4BEC254DAC5} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {307D334C-3618-46D7-B09B-8FF96BDCF206} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {329DAA53-CA0F-4277-9BFF-BE848E2575B0} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {32E9119F-944F-4E51-AA82-52676E9DC4AC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3798CB83-C59B-43D1-B538-C3A894D38B59} - \WordFly Auto Updater 1.10.0.25 Pending Update -> Brak pliku Task: {3900F802-B485-46C3-BC0B-2839F65F5792} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {3F8E3A52-0D65-4CB8-BBFA-10C8EC9D81FE} - \WordFly Auto Updater 1.10.0.25 Core -> Brak pliku Task: {43179979-0524-47CD-AB9D-D3947720035E} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {47099F6B-5B27-4685-AA56-79FBE70DB967} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {4C31788B-E515-4C22-A2E7-0366FC431792} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {55C72721-C52C-48B5-A374-5E45E769DAC6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {621BD708-F7AC-45E8-BA94-0747198631B5} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {6602E904-13A2-44C3-A7CA-E60B077EB440} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {67D2FD7D-6965-414E-8994-3A64F40DD305} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {9090C778-892F-4330-BEE0-224F42697EAD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {9179C9ED-F545-40F1-96D6-598FD9AA4331} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {94CEB0E4-084A-43F0-843A-4BF69EF4D48D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {9A794AD6-701F-4575-AC15-93CE3F2BD6E2} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {9CD66D61-8A2D-4A6A-9C16-4030DE079C2A} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {A4DDA547-7C43-466C-AF94-DD18E2F5CDA9} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {B8B31D4A-6BB3-433B-B277-69D20C01F03C} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {C19945B7-29B6-4176-9480-88FD9425D782} - \Virt-Device -> Brak pliku Task: {C36F90F2-D4DE-4610-A5C3-4B2639EA64FB} - \Newsfeed -> Brak pliku Task: {C37459DE-70F2-44B4-8562-DC138857EA83} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {CB256AD8-F4FC-4E87-80B8-8ACD5B8981DB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {CBB4F18C-CD2B-4976-975C-834C37E2F397} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {D0DF92AD-26BD-4580-8714-A76B970F976D} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {DA8FB597-849F-463C-A274-AD2851880F1F} - \Mistl -> Brak pliku Task: {E2686CB4-B21F-4D9C-80EB-568BC09515CE} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {E8011C3E-6ADB-4659-9690-921E83A4E6E2} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {FAD0CE03-2709-4F0D-9E91-936A42775C44} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe U3 idsvc; Brak ImagePath S3 ohci1394; \SystemRoot\System32\drivers\ohci1394.sys [X] U3 wpcsvc; Brak ImagePath DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\$360Section RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\360Quarant RemoveDirectory: C:\ProgramData\287f60bb-1697-0 RemoveDirectory: C:\ProgramData\287f60bb-4cb3-1 RemoveDirectory: C:\ProgramData\simplitec RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audytor 3 Demo RemoveDirectory: C:\Users\user\AppData\Local\ESET RemoveDirectory: C:\Users\user\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\user\AppData\Roaming\Mozilla\Firefox RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. Zresetuj system. 3. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > usuń dwa nieużywane profile, zostaw tylko bieżący. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Brak jakichkolwiek oznak infekcji. Temat przenoszę do działu Hardware na diagnostykę. Dostarcz dane wymagane działem: KLIK. Do wglądu ten temat: KLIK. To proces systemowy i jego obecność jest normalna. Posiadasz też programy (np. Corel), które rejestrują różne rozszerzenia powłoki w eksploratorze Windows. Jest w niektórych przypadkach kojarzony z infekcją, gdyż są takie odmiany malware, które używają klas tego procesu powodując multiplikację dllhost w menedżerze. Tu na pewno nie ma problemu takiej infekcji.