picasso

Wszystko elegancko przetworzone. Teraz jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko gładko poszło. Jeszcze poprawki pod kątem odpadków po odinstalowanym Sophos. Otwórz Notatnik i wklej: S3 MEMSWEEP2; C:\Windows\system32\4EFA.tmp [6144 2010-05-26] (Sophos Plc) [brak podpisu cyfrowego] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Sophos CMD: del /q C:\Users\Damian\Desktop\gmer.exe CMD: del /q C:\Windows\system32\*.tmp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Nic tu nie wskazuje na problem infekcji. Temat przenoszę, na razie do działu Vista, choć nie wykluczam Hardware. A z raportów nic nie wynika. Do których procesów pijesz? Jeśli masz na myśli rozmnożenie svchost.exe, to jest to normalne zjawisko: KLIK. Również normalne rozmnożenie rundll32.exe (w starcie uruchamiają się u Ciebie dwa polecenia nVidia posługujące się tym procesem Microsoftu) oraz iexplore.exe (Internet Explorer posiada architekturę separacji do osobnych procesów). Obciążenie poszczególnych instancji to już inne zagadnienie. Diagnostyka BSOD opisana tu: KLIK. Przy okazji, to stary system Vista ze starymi sterownikami Lenovo i brak aktualizacji tych komponentów też może być problemem. Dziennik Aplikacja: ================== Error: (01/18/2016 09:34:59 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd consent.exe, wersja 6.0.6002.19116, sygnatura czasowa 0x538c3c3d, moduł powodujący błąd USER32.dll, wersja 6.0.6002.19454, sygnatura czasowa 0x55ae6e00, kod wyjątku 0xc0000142, przesunięcie błędu 0x00009f55, identyfikator procesu 0x1284, godzina rozpoczęcia aplikacji 0xconsent.exe0. Z tego błędu tylko tyle widać na razie, że nie działa poprawnie UAC. Może rozpocznij od egzaminu sfc /scannow: KLIK. Po wykonaniu tego skanu nie filtruj raportu CBS.log, gdyż: W Dzienniku zdarzeń widzę poniższy błąd instalacji IE9 (wg FRST on już jest zainstalowany): Dziennik System: ============= Error: (01/26/2016 09:47:16 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: 0x80070643Windows Internet Explorer 9 dla systemu Windows Vista{CE545479-357C-49F8-8DB9-D1434AC00075}101 Rozpocznij od użycia "Narzędzia analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, skopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP i shostuj gdzieś podając link do paczki. Analiza jest bardzo czasochłonna, więc nie obiecuję szybkiej odpowiedzi.

Akcje do przeprowadzenia: 1. Odinstaluj stary Sophos Anti-Rootkit 1.5.4. Świeżo instalowany, ale to strasznie stara wersja. Obecnie Sophos ma nowsze narzędzie Sophos Virus Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4B9F40FC-45B0-49E0-84C8-1BD87E2AABDD} - System32\Tasks\Driver Booster SkipUAC (Damian) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {93ADED5E-CDF1-4293-9BB7-8FB4CE908303} - System32\Tasks\{30949D3D-4D08-4629-99E1-8757C7732E6C} => C:\Program Files (x86)\Ubisoft\Tom Clancy's Ghost Recon Future Soldier\Future Soldier.exe HKU\S-1-5-21-8983453-3073617917-2459003304-1000\Software\Classes\.exe: => S3 cpuz134; \??\C:\Users\Damian\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] RemoveDirectory: C:\AdwCleaner CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu. PS. Odpowiadaj już w nowym poście, nie edytuj poprzedniego.

Nic tu nie wskazuje na problem infekcji. Potem byłyby do czyszczenia drobne szczątki, ale na razie nie ma to sensu. Widoczny problem sprzętowy, temat przenoszę do działu Hardware. W Dzienniku zdarzeń błędy złych bloków dysku: Dziennik System: ============= Error: (02/02/2016 11:41:11 AM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. 1. Dostarcz dane wymagane działem: KLIK. Jeśli dysk zostanie sklasyfikowany jako zdatny do dalszego użytku: 2. Wykonaj naprawę plików systemowych poleceniem sfc /scannow i dostarcz przefiltrowany raport CBS: KLIK.

Adware zostało nabyte z portalu dobreprogramy.pl, na dysku widać pliki "Asystenta pobierania" tego portalu. Więcej na ten temat: KLIK. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe Reader X (10.1.13), Akamai NetSession Interface, Bonjour. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0B180415-F084-406E-9FED-63970FF10D3D} - \CPU Grid Computing -> Brak pliku Task: {24DB72DC-24D2-4C95-B847-502FC6876583} - \AdobeFlashPlayerUpdate -> Brak pliku Task: {4B73C0A0-9DA6-4520-9115-08C144AD1FA5} - \AdobeFlashPlayerUpdate 2 -> Brak pliku Task: {526F39D4-793C-47FD-9A96-4403989996BD} - System32\Tasks\Opera N Sunday => C:\Program Files\Opera\launcher.exe Task: {76A9D14C-1330-4AE8-816E-12668ED365E9} - System32\Tasks\{D8141197-71DD-4033-BCF3-2341B548B643} => pcalua.exe -a "C:\Users\Krystyna\Downloads\TGF2 uploaded by MCL.exe" -d C:\Users\Krystyna\Downloads Task: {B09D8334-D8C9-457D-AFF8-2EC1D71E90C4} - \34f566be-7fd2-41e4-b1d2-99539bfba853-2 -> Brak pliku Task: {CBC0008C-34D3-401F-B31D-D986E84F7CE3} - System32\Tasks\{BA686C1C-62E5-4684-AA21-6D450882DB5F} => pcalua.exe -a "C:\Users\Krystyna\Documents\Folder Magdy\Czasy Huncwotów\ICeQ_5.14.exe" -d "C:\Users\Krystyna\Documents\Folder Magdy\Czasy Huncwotów" Task: {CF122788-ACFF-49D0-96C7-29392CC7D5A7} - System32\Tasks\KrystynaExiguitiesBeanpoleV2 => Rundll32.exe SackfulCarcinomata.dll,main 7 1 HKU\S-1-5-21-4121712839-35300013-2485847260-1000\...\Run: [softonicAssistant] => "C:\Users\Krystyna\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe" ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Users\Krystyna\AppData\Roaming\Gadu-Gadu 10\_userdata\ggbho.2.dll [2009-12-21] (GG Network S.A.) CustomCLSID: HKU\S-1-5-21-4121712839-35300013-2485847260-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Krystyna\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuW1wjOdnxCcL8hc8O-tobKh35975Pf4RvgDWlAAOXfDH5RSvVZi-aIytf120ulSDIgj6KdPCq2XU-WmhS4Rnm50oUyw42uuQW5QTUIPlZzA-BE9VsIlceDhKz8Vz1K2IDr-EyrmaVVKb89Vl6Rfg,, CHR HKLM\...\Chrome\Extension: [enhljpgmfjednccepebhodcpbdbdpjch] - C:\Windows\System32\jmdp\nte.crx FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF NewTab: FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-09] FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2013-01-03] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150503 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-4121712839-35300013-2485847260-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4121712839-35300013-2485847260-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4121712839-35300013-2485847260-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-4121712839-35300013-2485847260-1000 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4121712839-35300013-2485847260-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-4121712839-35300013-2485847260-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} S1 hnxpcdlq; \??\C:\Windows\system32\drivers\hnxpcdlq.sys [X] S1 ljkgybaj; \??\C:\Windows\system32\drivers\ljkgybaj.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleDriveSync DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VDownloader DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{8D16EF5A-1281-45D4-B15E-1E9DDC3773CA} RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyPaint RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Perfect World Entertainment RemoveDirectory: C:\Users\Krystyna\AppData\Local\ExiguitiesBeanpole RemoveDirectory: C:\Users\Krystyna\AppData\Local\GG RemoveDirectory: C:\Users\Krystyna\AppData\Roaming\Gadu-Gadu 10 RemoveDirectory: C:\Users\Krystyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU RemoveDirectory: C:\Users\Krystyna\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\GUTC90E.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Inkscape.lnk C:\Users\Krystyna\Downloads\*-dp*.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Krystyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. I mam pytanie czy można usunąć GG Dysk pozostały po deinstalacji GG?

Temat przenoszę do właściwego działu leczenia infekcji, bo to infekcja (zmodyfikowane proxy AutoConfigURL). Proszę o dostarczenie raportów FRST + GMER wymaganych działem: KLIK.

Czyszczenie systemu ukończone. Kroki końcowe: KLIK. Czy są jakieś wyniki tych działań?

Problem stanowi modyfikacja proxy: AutoConfigURL: [s-1-5-21-1723503536-4267823742-188912024-1001] => hxxp://get-access.me/wpad.dat?97d80e5878ebc2a0b4316c8ceefcea041701166 Pry okazji będę usuwać też inne rzeczy, w tym puste skróty widziane w Shortcut.txt. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe AIR, Adobe Shockwave Player 12.1, Java 8 Update 31 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {994968AA-CA5A-4485-85FB-F830C3768955} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2013-05-15] (Lenovo) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\ALLPlayer Skin Creator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\Strona WWW programu ALLPlayer V5.X.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TomTom\Odinstaluj MyDriveConnect.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra C:\ProgramData\Microsoft\Windows\Start Menu\Programs\wxDev-C++ C:\Users\Sławomir\setup.exe C:\Users\Sławomir\AppData\Local\{92DF5489-9C36-4ED8-B64A-8831E0D28096} C:\Users\Sławomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\60 Seconds 1.0.0.2 C:\Users\Sławomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Sławomir\Desktop\Gry\60 Seconds.lnk C:\Users\Sławomir\Desktop\Gry\Counter-Strike 1.6 v43.lnk C:\Users\Sławomir\Desktop\Gry\World of Tanks.lnk C:\Users\Sławomir\Desktop\multimedia i aplikacje\Adobe Reader XI.lnk C:\Users\Sławomir\Desktop\multimedia i aplikacje\CorelDRAW X7 (64-Bit).lnk C:\Users\Sławomir\Desktop\multimedia i aplikacje\TomTom MyDrive Connect.lnk C:\Users\Sławomir\Documents\al plajer\ALL Media Server.lnk C:\Users\Sławomir\Documents\al plajer\ALLConverter PRO.lnk C:\Users\Sławomir\Documents\al plajer\NapiProjekt.lnk C:\Users\Sławomir\Documents\Corel\Próbki CorelDRAW X7\target.lnk C:\Users\Sławomir\Documents\Corel\CorelDRAW X7 Samples\target.lnk Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v egui /f CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemów.

Widzę tu szkodliwą usługę TDataSvr. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 TDataSvr; C:\Program Files\TData\TData.exe [205032 2016-01-26] (TData.com) CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://www.yoursearching.com/?type=hp&ts=1453832717&z=97652c7dbd9866c22b6cd91g1z3wacdbcc6o1megfm&from=exp1&uid=wdcxwd1600js-60mhb5_wd-wcanmd94553845538" CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-12-16] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\Documents and Settings\Natala\Dane aplikacji\Mozilla RemoveDirectory: C:\Program Files\TData CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Natala\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Te objawy powinno produkować szkodliwe proxy (ustawienie AutoConfigURL), z tym że w raportach FRST tego nie widać... Czy na pewno problem nadal występuje? Na razie zadam na wszelki wypadek globalną komendę resetu proxy oraz inne poboczne działania. I stosowałeś wątpliwy skaner SpyHunter, z daleka od niego. 1. Odinstaluj niebezpieczną wersję Adobe Reader 6.0 CE oraz przestarzały program Spybot - Search & Destroy. I już nie ponawiaj w przyszłości jego instalacji. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj podejrzane rozszerzenie Video AdBlock for Chrome. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3912128315-2759491386-309134943-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2016-01-26] () DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Users\tb\Downloads\SpyHunter-Installer.exe C:\Windows\system32\drivers\EsgScanner.sys C:\Windows\system32\drivers\etc\hosts*.backup RemoveDirectory: C:\AdwCleaner Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\tb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Ta infekcja modyfikuje m.in. wszystkie skróty LNK przeglądarek. Stosowałeś przestarzały program HijackThis - program niekompatybilny z systemami 64-bit, pokazuje na nich głupoty. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: HQ Video Pro 3.1cV20.04 (adware), Java 8 Update 45 (stara wersja), McAfee Security Scan Plus (sponsor produktów Adobe). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IhPul; C:\Users\Zajace4\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) ShortcutWithArgument: C:\Users\Zajace4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399 ShortcutWithArgument: C:\Users\Zajace4\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449820129&z=c9868ec4224a259f366dad1gbz8zbt3b5o9e5g9o0o&from=ient07021&uid=PatriotXBlaze_DB8C074A1EEE00925399 ShortcutWithArgument: C:\Users\Zajace4\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449820129&z=c9868ec4224a259f366dad1gbz8zbt3b5o9e5g9o0o&from=ient07021&uid=PatriotXBlaze_DB8C074A1EEE00925399 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449820129&z=c9868ec4224a259f366dad1gbz8zbt3b5o9e5g9o0o&from=ient07021&uid=PatriotXBlaze_DB8C074A1EEE00925399 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449820129&z=c9868ec4224a259f366dad1gbz8zbt3b5o9e5g9o0o&from=ient07021&uid=PatriotXBlaze_DB8C074A1EEE00925399 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130984079392643124&GUID=518A86A5-2E2B-41C2-8A78-85583B39C256 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449820129&z=c9868ec4224a259f366dad1gbz8zbt3b5o9e5g9o0o&from=ient07021&uid=PatriotXBlaze_DB8C074A1EEE00925399 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399&q={searchTerms} HKU\S-1-5-21-60943337-3696856479-3242954001-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE03&ocid=UE03DHP SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-60943337-3696856479-3242954001-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399 FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Zajace4\AppData\Roaming\Mozilla\Firefox\Profiles\qhfgy5ia.default-1449846187322\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Zajace4\AppData\Roaming\Mozilla\Firefox\Profiles\cznp7msj.default-1429823629492\extensions\yahooprotected@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-01-27] Task: {55F63178-4ED7-4295-9854-96A2B0C0E3C1} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {5BE5CDF5-17BD-4A41-9A9B-F0FF2AD14F8E} - System32\Tasks\{3B33C10F-B401-4A59-9B79-BDC99A5F7524} => pcalua.exe -a C:\Users\Zajace4\AppData\Local\Temp\Temp2_realtek_web_camera_6_2_9200_10279_driver.zip\Realtek_PC_Camera_6.2.9200.10279\setup.exe Task: {67BD1741-3267-41CA-BD0D-D2186DA1BC6F} - System32\Tasks\{B98C8710-330D-4ADD-B2C1-9A02EFF71E80} => Firefox.exe hxxp://ui.skype.com/ui/0/7.12.0.101/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {F556775E-F4A2-40B9-A4D6-E2E44D9BB534} - System32\Tasks\{FC3DBD1E-168E-43FD-9D58-8DF230F33C8B} => pcalua.exe -a C:\Users\Zajace4\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=tugs Task: {FCB977F7-DC72-4C50-B2EE-EFB1013A1BA5} - System32\Tasks\{0EEE5834-5F1F-4BD2-A784-BD83551DDE51} => pcalua.exe -a C:\Users\Zajace4\AppData\Local\Temp\Temp1_realtek_web_camera_6_2_9200_10279_driver.zip\Realtek_PC_Camera_6.2.9200.10279\setup.exe Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe S3 RimUsb; \SystemRoot\System32\Drivers\RimUsb_AMD64.sys [X] HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\BtvStack.exe HKU\S-1-5-21-60943337-3696856479-3242954001-1001\...\MountPoints2: {be24ee16-c6d7-11e5-82d9-4cbb5838f9b9} - "C:\WINDOWS\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL G:\Start.exe RemoveDirectory: C:\ProgramData\nWdMn RemoveDirectory: C:\Users\Zajace4\AppData\Roaming\TSv C:\Program Files (x86)\SSFK.exe C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Zajace4\AppData\Roaming\Q9T589iNTvVbOCsef0wBnTR C:\Users\Zajace4\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Zajace4\Desktop\Basia\Edilingua Progetto italiano 1.lnk C:\Users\Zajace4\Desktop\MAREK\E-PM2 Instrukcja obsługi.lnk C:\Users\Zajace4\Desktop\NASZE AUTA\Lightroom 4.3.lnk C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\pl7.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Serviio.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SBRegRebootCleaner /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v StartCCC /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź, że problem nie występuje także w przeglądarce Edge.

ZielonyZoltodziob Opis SpyHunterCleaner jest w przyklejonym: KLIK hailey SpyHunter i problem reklam to dwie odrębne rzeczy. SpyHunter został już w dostateczny sposób usunięty, jedynie szczątki pozostały, których usunięcie nie przedstawia trudności. Natomiast reklamy (zapewne "PriceFountain") produkuje szkodliwe zadanie JULIACongenialityModulatorV2 w Harmonogramie. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0628219F-B4E4-4B3A-9BC9-91A260A3CFD2} - System32\Tasks\JULIACongenialityModulatorV2 => Rundll32.exe MailedAppointment.dll,main 7 1 Task: {3DC51A31-4AC8-4412-B631-0379CD0D0B09} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-01-21] (AVAST Software) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-27] () C:\WINDOWS\system32\Drivers\EsgScanner.sys S2 0073281453489422mcinstcleanup; C:\WINDOWS\TEMP\007328~1.EXE -cleanup -nolog [X] S2 PrivoxyService; "C:\Program Files (x86)\Softcomp Software\privoxy.exe" --service [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] S2 TDataSvr; C:\Program Files (x86)\TDataDld\TData.exe [X] HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\Run: [EA Core] => "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> {306586E7-F494-4E28-96D7-E8E9E9F6C4E5} URL = SearchScopes: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\sh4ldr RemoveDirectory: C:\Users\JULIA\AppData\Local\CongenialityModulator RemoveDirectory: C:\Users\JULIA\AppData\Roaming\Enigma Software Group RemoveDirectory: C:\Users\JULIA\Start Menu\Programs\SpyHunter DisableService: PLAY ONLINE. RunOuc DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Orange - Anydata ADU890-W.lnk" /f CMD: type C:\ProgramData\MakeMarkerFile.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

PriceFountain jest produkowane przez szkodliwe zadanie TincturedDecreasingV2 w Harmonogramie zadań. Akcje do przeprowadzenia: 1. Odinstaluj starą dziurawą wersję Adobe Reader 9.5.0 - Polish oraz zbędny program AVG Web TuneUp ingerujący w ustawienia przeglądarek. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {795CA5C0-DF42-4C2E-A272-0F2A09CF0B98} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe Task: {7BC556FD-585F-47E9-9286-FEE035D8FA94} - System32\Tasks\TincturedDecreasingV2 => Rundll32.exe SentimentalizedImpacted.dll,main 7 1 <==== UWAGA Task: {B18C1B1B-66D8-45A9-BD45-95A4DCB5792A} - System32\Tasks\1214tbUpdateInfo => C:\ProgramData\Avg_Update_1214tb\1214tb_{6E736F8E-7688-47D7-9B93-39A15E737EE9}.exe Task: {E2E9C883-EE34-4F56-A953-C68A0417947D} - System32\Tasks\1014avUpdateInfo => C:\ProgramData\Avg_Update_1014av\1014av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\1014avUpdateInfo.job => C:\ProgramData\Avg_Update_1014av\1014av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\1214tbUpdateInfo.job => C:\ProgramData\Avg_Update_1214tb\1214tb_{6E736F8E-7688-47D7-9B93-39A15E737EE9}.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files\DriverToolkit\DriverToolkit.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKU\S-1-5-21-2719465852-3426311980-2357578415-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={6B66D168-052E-4A00-95EB-471569A79436}&mid=dabe29e0b13e47cda778d1532d05bef6-245c998230084cfb8bba3e7a53fc90f26f927dea&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1214av&pr=fr&d=2014-12-17 22:41:40&v=4.2.1.951&pid=wtu&sg=&sap=hp C:\Users\Public\Desktop\DriverToolkit.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\_OTL RemoveDirectory: C:\Users\adm\AppData\Local\TincturedDecreasing DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\MozillaPlugins DisableService: Internet Manager. RunOuc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Opisz dokładniej problemy, rozwiń "dziwne działanie" oraz podaj dokładny błąd Windows Update. W kwestii raportów: Na temat używania ComboFix: KLIK. Logi z przestarzałego OTL w ogóle tu nie są już brane pod uwagę, usuwam. Podane tu logi FRST są bezużyteczne, pochodzą z mega-archaicznej wersji FRST z roku 2014! Od tego czasu było kilkaset aktualizacji... Proszę dostarczyć poprawne raporty z najnowszych wersji FRST i GMER.

Skoro użyłeś SUPERAntispyware, to należy przedstawić co usuwał oraz zrobić nowe raporty FRST (poprzednie są już nieaktualne po zastosowaniu aplikacji usuwającej coś z systemu).

Dostarczony raport Addition nie jest poprawny. To stary log sprzed wielu miesięcy wyciągnięty z archiwum C:\FRST\Logs. Bieżący log powstaje zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku C:\Users\Agnieszka\Downloads. Proszę o wygenerowanie nowego poprawnego raportu Addition. EDIT: Log dostarczony. Posty połączyłam, podmieniając załączniki. Log Addition znów wyciągnięty z folderu C:\FRST\Logs. Nie grzeb tam. Już mówiłam gdzie jest log bieżący. W systemie widać aktywny niepożądany program YAC (Yet Another Cleaner), który m.in. okazał się złodziejem cudzej bazy danych: KLIK. I to prawdopodobnie on jest przyczyną degradacji wydajności. W Addition i Shortcut nie widać w ogóle wejść deinstalacyjnych tego dziadostwa, więc pozostaje usunięcie na siłę. Operacja będzie wymagała przejścia w Tryb awaryjny. 1. Przygotuj skrypt naprawczy. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2015-07-24] (Elex do Brasil Participações Ltda) R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [260856 2015-05-14] (Elex do Brasil Participações Ltda) R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2015-07-24] (Elex do Brasil Participações Ltda) R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2015-07-24] (Elex do Brasil Participações Ltda) R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2015-07-24] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-06-30] (Elex do Brasil Participações Ltda) S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] Task: {0B0666DC-F078-4745-AFAF-D510A19EBA75} - System32\Tasks\{72DDDCE0-2FAD-4A5C-AF53-0A2D1C1A531A} => pcalua.exe -a D:\setup.exe -d D:\ Task: {334A6D81-A264-4CF9-83B6-2361FE292CCC} - System32\Tasks\{E27EADEE-C703-4BF1-85EC-96DB0026EBE1} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.13.0.101/pl/abandoninstall?source=lightinstaller&amp;page=tsInstall HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [Brak pliku] FF Plugin HKU\S-1-5-21-1266647216-2071126190-593478351-1001: intel.com/AppUp -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp.dll [Brak pliku] FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Agnieszka\AppData\Roaming\Mozilla\Firefox\Profiles\cv1ghmd1.default-1445733495372\extensions\arthurj8283@gmail.com C:\Program Files (x86)\Elex-tech C:\ProgramData\Microsoft\Windows\GameExplorer\{977b5905-4d14-47f1-bbbf-7b92f596695d} C:\Users\Agnieszka\AppData\Roaming\Microsoft\Windows\SendTo\YAC Desktop.lnk C:\Users\Agnieszka\Pictures\R-obrazy\Stary_komp\2-comp\Sample Pictures.lnk C:\Windows\System32\drivers\iSafeNetFilter.sys DisableService: PLAY ONLINE. RunOuc Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w katalogu Pobrane, gdzie jest FRST. 2. Klawisz z flagą Windows + I > Zmień ustawienia komputera > Aktualizacja i odzyskiwanie > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz. System zostanie zresetowany i pojawi się nowe menu startowe. Wybierz po kolei Rozwiąż problemy > Opcje zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 3. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Odinstaluj stare niebezpieczne wersje Java 7 Update 5 (64-bit), Java 7 Update 5. 5. Dodatkowo wyczyść także Firefox ze śmieci: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 6. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa w działaniu systemu.

Raporty FRST niepoprawnie skonfigurowane, wytyczne na forum wyraźnie mówią, by nie zaznaczać opcji: "Lista BCD", "MD5 sterowników", "Pliki z 90 dni". Akcje do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0995884D-B248-47DA-A15D-937EA5438FAF} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files\AVG\AVG PC TuneUp\tuscanx.exe Task: {7F12A36F-0D89-4013-875F-BDD7BBAC6065} - System32\Tasks\{B508DDE1-48D0-4BF3-A2CE-016BA12C201D} => pcalua.exe -a F:\UANC22-driver\SETUP\PL2502NW_v20044.exe -d F:\UANC22-driver\SETUP Task: {8AA444DF-2D8C-4D22-A990-AC6AD11E34F7} - System32\Tasks\MateuszEntrenchingComplicatorV2 => Rundll32.exe SupersederFlocculus.dll,main 7 1 <==== UWAGA Task: {8D482812-6710-486F-94F8-968963EF4992} - System32\Tasks\ALLPlayer => C:\Program Files\ALLPlayer\ALLPlayer\ALLUpdate.exe Task: {A73150AD-ED4D-47CB-A8BD-9D6664D92B73} - System32\Tasks\{E1FEA523-5F35-4DAB-95B5-6F6F37001039} => pcalua.exe -a C:\Users\Mateusz\Desktop\FR11_PE_976_1.exe -d "C:\Program Files\Mozilla Firefox" Task: {A7A46018-BCC4-495A-93BC-76B9E31BD41C} - \Program aktualizacji online firmy Adobe. -> Brak pliku <==== UWAGA Task: {BF84306E-A23E-4797-856F-BE667BD721A2} - System32\Tasks\{7EC03BE2-4D6D-41BB-A90F-BCCD08C92A4F} => pcalua.exe -a "C:\Users\Mateusz\Documents\Studia\Semestr 3\winQSB\winqsbinstall1\winqsbinstall\Full\SETUP.EXE" -d "C:\Users\Mateusz\Documents\Studia\Semestr 3\winQSB\winqsbinstall1\winqsbinstall\Full" Task: {E0343005-69A5-4B64-AD94-1508CE792AAE} - System32\Tasks\{37B373FC-9321-4091-9258-DCC8A2747AC0} => pcalua.exe -a F:\setup.exe -d F:\ Task: {F2280471-40CE-4EDE-A379-AFFAB73FDDD7} - System32\Tasks\Java Platform SE Auto Updater => C:\Program Files\Common Files\Java\Java Update\jusched.exe ShellIconOverlayIdentifiers: [Uchwyt nakładania ikony podpisu cyfrowego] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => Brak pliku BHO: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~1\ALLPLA~1\ALLPLA~1\Iplex\IPLEXT~1.DLL => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] R2 yksvc; RUNDLL32.EXE ykx32coinst,serviceStartProc [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files\TweakRAM RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\Users\Mateusz\.oracle_jre_usage RemoveDirectory: C:\Users\Mateusz\AppData\Local\EntrenchingComplicator RemoveDirectory: C:\Users\Mateusz\AppData\Local\GG RemoveDirectory: C:\Users\Mateusz\AppData\Local\Microsoft\Windows\GameExplorer\{F40CF5EE-03EF-475A-8B5F-2CCEA602D727} RemoveDirectory: C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\kafu6lnp.default RemoveDirectory: C:\Users\Mateusz\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\ALLPlayer Skin Creator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\Strona WWW programu ALLPlayer V5.X.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ALLPlayer.TV.lnk C:\Users\Mateusz\Documents\Studia\I stopień\Programy\Autodesk Inventor\*.lnk C:\Users\Mateusz\Documents\Studia\II stopień\Semestr 1\SEMESTR VIII - I mgr\deptula - program\Dokumentacja\*.lnk C:\Users\Mateusz\Favorites\GG dysk.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Posprzątałam duplikaty. Dostarczone raporty nie są poprawne. Brakuje pliku FRST.txt. Poproszę o prawidłowe zrobienie nowych raportów FRST (Addition.txt, FRST.txt, Shortcut.txt): KLIK. Poza tym używałeś jakiś skrypt FRST i robiłeś oderwane od rzeczywistości szukanie w FRST - nie wiadomo co to ma znaczyć i po co to było.

Są tu dwa problemy: hijack rejestracji CLSID oraz infekcja routera. Poniższy adres nie jest polski: Tcpip\Parameters: [DhcpNameServer] 79.143.82.186 8.8.8.8 Akcje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj starą dziurawą wersję Java 7 Update 45. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CustomCLSID: HKU\S-1-5-21-3061280923-3253570267-2657071582-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\spwizimg.dll (Windows ® Codename Longhorn DDK provider) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Podaj model routera. I wypowiedz się czy problemy nadal występują.

Brakuje pliku fixlog.txt z wynikami skryptu (powinien być tam skąd uruchamiałeś FRST). A wszystkie logi proszę umieść jako załączniki forum.

Brak widocznych oznak infekcji... Za to notuję sterowniki Kasperskiego pozostałe po niepoprawnie odinstalowanym antywirusie ZoneAlarm. Na razie wykonaj te działania: 1. Deinstalacje: - Wejdź w Tryb awaryjny Windows i zastosuj Kaspersky Remover. Po użyciu programu opuść Tryb awaryjny. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis ZoneAlarm Antivirus > Dalej. - Poprzez Panel sterowania odinstaluj starą wersję Adobe Flash Player 15 ActiveX oraz zbędny program zainstalowany jako sponsor produktów Adobe McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 cpuz130; \??\C:\Users\Adrian\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-4162316270-4102970208-303935742-1000\...\MountPoints2: {9d0a26f5-cb2a-11e3-b7f0-94de80bc51f2} - E:\Aoesetup.exe HKU\S-1-5-18\...\Run: [ZoneAlarm Windows 10 Upgrader] => "C:\ProgramData\CheckPoint\ZoneAlarm\Data\Updates\unpacked==win10=update_win10.zip\upgrade.exe" /delay DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab FF user.js: detected! => C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\lbvjhhn7.default\user.js [2014-05-28] FF Extension: Avira Browser Safety - C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\lbvjhhn7.default\Extensions\abs@avira.com.xpi [2016-01-25] C:\Program Files (x86)\ESET C:\Users\Adrian\AppData\Local\Google C:\Users\Adrian\AppData\Local\Microsoft\Windows\GameExplorer\{D69B9A91-89BC-4FB2-A3AE-BB7014DAC94A} C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DisableService: PAExec CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś pozytywne zmiany.

Raport FRST nie został skonfigurowany wg wytycznych - opcje "List BCD" + "Drivers MD5" nie miały być zaznaczone. Wiele problemów. Po pierwsze ustawione proxy. Po drugie cała przeglądarka Google Chrome jest zmodyfikowana, przekształcona w wersję typu "development" i konieczna reinstalacja przeglądarki od zera. Próbując rozwiązć problem posługiwałeś się wątpliwymi skanerami SpyHunter i YAC. Działania do przeprowadzenia: 1. Odinstaluj: - Adware/PUP: MyBestOffersToday 005.014010221, Registry Reviver, Setup, WarThunder. - Stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 18 NPAPI, Adobe Flash Player 20 PPAPI, Adobe Reader 9.5.0 - Polish, Akamai NetSession Interface, Java 8 Update 25 (64-bit), Java 8 Update 25, Java 8 Update 31 (64-bit), Java 8 Update 31, Spybot - Search & Destroy, SUPERAntiSpyware. 2. Akcje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj Google Chrome, gdyż skrypt poniżej doczyści elementy przeglądarki. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2F0A17E4-7353-4EBE-8B2F-39977FAEB8A5} - System32\Tasks\{84DE5E78-64CC-4A0D-92B7-88D961F5C156} => pcalua.exe -a F:\Setup.now.exe -d F:\ Task: {406C6749-7890-4CC4-9DB1-353B06E95C66} - System32\Tasks\WarThunder24 => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=zytDtB0BtAyE0A0EtB0E0BzytA0FtB0C2RtBtDtCyCtDtCtBzytCtBtCzzyEyCtDyEyD Task: {43FA161D-F091-4096-A03E-DAC574D8402C} - System32\Tasks\{467EDC5A-3E11-463C-B245-C79B5C9F97AA} => pcalua.exe -a C:\Users\KAAM\Desktop\RTLTOOL\WIN7\64\EXE\RtlStartInstall.exe -d C:\Users\KAAM\Desktop\RTLTOOL\WIN7\64\EXE Task: {5A686041-99BA-457F-932C-933623B753DB} - System32\Tasks\{BEE96EE5-2A4D-4132-9013-52A9A02C10E8} => pcalua.exe -a "D:\Program Files (x86)\Raggot\wormsarm\RegSetup.exe" -d "D:\Program Files (x86)\Raggot\wormsarm" Task: {62448B39-897E-4B62-A52E-26D9E879064E} - System32\Tasks\{1488BBFF-48DE-470A-9A0C-09CC17C389C2} => pcalua.exe -a "D:\Program Files (x86)\IxGxI\IGI 2 PL[ExtremeB14]\Project IGI 2-CovertStrike.exe" -d "D:\Program Files (x86)\IxGxI\IGI 2 PL[ExtremeB14]" Task: {8D50850F-5A7C-4F88-A104-7E7C221CAFCF} - System32\Tasks\WarThunder sat => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=zytDtB0BtAyE0A0EtB0E0BzytA0FtB0C2RtBtDtCyCtDtCtBzytCtBtCzzyEyCtDyEyD Task: {BCAB20DE-C253-490E-A08F-C9C63B2EE8E9} - System32\Tasks\WarThunder sun => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=zytDtB0BtAyE0A0EtB0E0BzytA0FtB0C2RtBtDtCyCtDtCtBzytCtBtCzzyEyCtDyEyD Task: {BFA8EEAE-86B3-4A65-B030-6C46FD839053} - System32\Tasks\{E9768EB2-1BEC-4648-9E72-6992B17621BF} => pcalua.exe -a F:\DOW_DC\directx\dxsetup.exe -d F:\DOW_DC\directx Task: {CADC321B-FCB3-43C9-B0D0-545209BF438A} - System32\Tasks\{932B773E-958E-4F65-8308-9FCDB155739A} => pcalua.exe -a "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen\Spellforce 2_1.2a-1.2_poprawka.exe" -d "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen" Task: {E6E9DC69-AB39-4708-8129-B7EE309B59BA} - System32\Tasks\{A7887154-DFE0-4FFC-8E1A-EE7427B7F116} => pcalua.exe -a "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen\base\data\Spellforce 2_1.2a-1.2_poprawka.exe" -d "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen\base\data" HKLM-x32\...\RunOnce: [upmbot_be_014010221.exe] => C:\Users\KAAM\AppData\Local\mbot_be_014010221\upmbot_be_014010221.exe [3278000 2016-01-28] () Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * BootDefrag.exesdnclean64.exe R1 DMProtect; C:\Windows\System32\DRIVERS\DMProtect64.sys [28416 2015-07-10] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-21] () U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [24688 2016-01-25] () U2 ADSafeSvc; no ImagePath S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 TEAM; system32\DRIVERS\RtTeam60.sys [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\TsNetHlpX64.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = google.pl HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = google.pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4156027226-2253448997-1576552463-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-4156027226-2253448997-1576552463-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Google.pl HKU\S-1-5-21-4156027226-2253448997-1576552463-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-4156027226-2253448997-1576552463-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4156027226-2253448997-1576552463-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mbot_be_014010221 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upmbot_be_014010221.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains RemoveDirectory: C:\AdwCleaner C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\mbot_be_014010221 C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\ProgramData\Malwarebytes C:\ProgramData\RogueKiller C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{E3D0E901-E875-44B1-A0F7-52A589F0160C} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY C:\Users\KAAM\AppData\Local\Chromium C:\Users\KAAM\AppData\Local\Google\Chrome C:\Users\KAAM\AppData\Local\mbot_be_014010221 C:\Users\KAAM\AppData\Roaming\DiskDefrag C:\Users\KAAM\AppData\Roaming\Mozilla C:\Users\KAAM\AppData\Roaming\WarThunder C:\Users\KAAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\.lnk C:\Users\KAAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\KAAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\WarThunder.lnk C:\Users\KAAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\KAAM\Desktop\Non-important Content\Adobe Reader 9.lnk C:\Users\KAAM\Desktop\Non-important Content\Kaam - Chrome.lnk C:\Users\KAAM\Desktop\Non-important Content\Osoba 1 - Chrome.lnk C:\Users\KAAM\Desktop\Non-important Content\* (*).lnk C:\Users\KAAM\Downloads\adwcleaner*.exe C:\Users\KAAM\Downloads\ExecutionGuard.zip C:\Users\KAAM\Downloads\Malwarebytes Anti-Malware Premium 2.0.2.1012 Key.rar C:\Users\KAAM\Downloads\Spy*.* C:\Users\KAAM\Links\Desktop (2).lnk C:\Users\KAAM\Links\Desktop (3).lnk C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\system32\ExecutionGuard.dll C:\Windows\system32\log C:\Windows\system32\drivers\DMProtect64.sys C:\Windows\system32\drivers\EsgScanner.sys C:\Windows\system32\drivers\iSafeKrnlBoot.sys C:\Windows\system32\drivers\TrueSight.sys C:\Windows\system32\drivers\etc\hosts*.backup CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\KAAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Po tej niechcianej instalacji Privoxy pozostało tylko jedno czynne zadanie w Harmonogramie (PC Defender) oraz odpadkowe obiekty na dysku. Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj starą wersję Java 8 Update 31. - W Google Chrome odinstaluj rozszerzenie Adblock Super. Z jakiegoś względu zostało usunięte z Chrome Web Store. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {780555DF-E9F3-4183-8C36-C0FFDBF29D00} - System32\Tasks\PC Defender Uninstaller => C:\Program Files (x86)\PC Defender\PCDefender.exe [2015-10-09] (Backup Updater) Task: {7BD4F717-6DD9-4A44-B74E-F7419D2112EA} - System32\Tasks\{087878FD-F212-4533-8197-8537AD8B91EB} => pcalua.exe -a C:\Users\HP\Downloads\sp63709.exe -d C:\Users\HP\Downloads Task: {EBE8EB1A-1CF9-4255-90E0-EBD631907956} - System32\Tasks\{5A817991-3257-40F3-8A28-F630B1BB8220} => C:\Users\HP\Downloads\Hearthstone-Setup-plPL (2).exe [2015-07-23] (Blizzard Entertainment) Task: {EE2489CD-5C80-420E-BBF4-ADD0670B50FA} - \Malware Cleaner -> Brak pliku HKU\S-1-5-21-1324791437-3742843323-2610589818-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1324791437-3742843323-2610589818-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) S3 cpuz136; \??\C:\Users\HP\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 DIRECTIO; \??\C:\Program Files\PerformanceTest\DirectIo64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] GroupPolicyScripts: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = SearchScopes: HKU\S-1-5-21-1324791437-3742843323-2610589818-1000 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = FF Homepage: hxxps://www.malwarebytes.org/restorebrowser//?u=2acc6d0eaf50f18e51762cfb63ff29fb&c=p1&src=hp&inst=1453550315 CHR StartupUrls: Default -> "hxxps://search.protectedio.com/?u=2acc6d0eaf50f18e51762cfb63ff29fb&c=p1&src=hp&inst=1452893630" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CodeBlocks RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins RemoveDirectory: C:\Program Files (x86)\PC Defender RemoveDirectory: C:\Users\HP\AppData\Roaming\Mighty Cleaner C:\ProgramData\Benchmarking.exe C:\Users\HP\AppData\Roaming\*.tmp C:\Users\HP\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\HP\Desktop\Gry\Glyph.lnk C:\Users\HP\Desktop\Programy\ALLPlayer.Radio.lnk C:\Users\HP\Desktop\Programy\ALLPlayer.VOD.lnk C:\Users\HP\Desktop\Programy\CodeBlocks.lnk C:\Users\HP\Desktop\Programy\Free PDF to Word Doc Converter.lnk C:\Users\HP\Desktop\Programy\HitLeap Viewer.lnk C:\Users\HP\Desktop\Programy\Huawei E3272.lnk C:\Users\HP\Desktop\Programy\McAfee Security Scan Plus.lnk C:\Users\HP\Desktop\Programy\PerformanceTest.lnk C:\Users\HP\Desktop\Programy\Testy Liwona kategoria B.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Opisz czy nadal występują problemy.

W raportach brak oznak infekcji. Przedstaw raport z MBAM pokazujący gdzie wykrył tego trojana (dokładna ścieżka dostępu i nazwa zagrożenia).