picasso

1. Pomyliłam się w kolejności komend i odzyskanie omyłkowo skasowanego folderu "GG" stało sę nie możliwe. Uruchom ShadowExplorer, wybierz datę 17-12-2015, wyszukaj ścieżkę C:\Users\User\AppData\Local\GG i skopiuj folder "GG" na Pulpit. Następnie folder ten wstaw w systemowym C:\Users\User\AppData\Local. 2. Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń i dostarcz wynikowy log z usuwania.

Poprawki: 1. Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => Brak pliku DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Oskar\Desktop\FRST-OlderVersion CMD: del /q C:\Users\Oskar\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Wydzielone w osobny temat. Od razu uwaga na początek, definitywnie było tu pobieranie z dobrychprogramów via szkodliwy "Asystent pobierania": KLIK. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj McAfee Security Scan Plus (sponsowany zbędnik), Search Provided by Yahoo (adware), Shared C Run-time for x64 (odpadek po odinstalowanym McAfee) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0FF5DD40-139D-4AE9-BA87-9D4066E5BF29} - System32\Tasks\UpdateTask => C:\Users\Tomasz\AppData\Local\{0E9C3~1\UNINST~1.EXE [2015-10-17] () Task: {1D0EAD36-DACF-4778-AC0A-054667D2FB38} - System32\Tasks\Price Fountain => C:\Users\Tomasz\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {6736B4C3-0B5F-4C4B-96A2-7B2964AD4CCB} - System32\Tasks\help4u_updating_service => C:\Program Files (x86)\help4u\help4u_updating_service.exe Task: {6ECF0A52-9E53-4BB8-8827-ACC2A576D50D} - System32\Tasks\AdjudicationsPaleontologistsV2 => Rundll32.exe ArteriogramLarkier.dll,main 7 1 Task: {86099486-47CA-4453-A863-D7BF4D96E7FC} - System32\Tasks\help4u_notification_service => C:\Program Files (x86)\help4u\help4u_notification_service.exe Task: {B7EA7B2D-EB02-4F86-B9B4-9637915E5F05} - System32\Tasks\{678F1855-3E44-42E5-9DB8-A9E1E655E002} => pcalua.exe -a "C:\Program Files (x86)\Sense\Uninstall.exe" -c /fromcontrolpanel=1 Task: {BC91E1D6-3FE1-425C-B724-F5E89A878FBA} - System32\Tasks\{90530114-1D17-4677-96BB-F674539ED408} => pcalua.exe -a "C:\Users\Tomasz\Downloads\eset-smart-security-64bit-8.0.304.2-pl\e_8_64\FIX\FIX\box, mara-fix v1.8\Eset fix\Eset fix.exe" -d "C:\Users\Tomasz\Downloads\eset-smart-security-64bit-8.0.304.2-pl\e_8_64\FIX\FIX\box, mara-fix v1.8\Eset fix" Task: {D1C19B0E-1C35-48CA-8C46-E0BD1A38E005} - System32\Tasks\4UKOOyXwbSuEEhQb => C:\Users\Tomasz\AppData\Roaming\4UKOOyXwbSuEEhQb.exe Task: C:\WINDOWS\Tasks\4UKOOyXwbSuEEhQb.job => C:\Users\Tomasz\AppData\Roaming\4UKOOyXwbSuEEhQb.exe Task: C:\WINDOWS\Tasks\help4u_notification_service.job => C:\Program Files (x86)\help4u\help4u_notification_service.exeǢ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='help4u' /appid='73143' /srcid='2913' /bic='896c9c2df74490b8bba4809ba912fe86' /verifier='50d08d275a08c8722741359252159354' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif Task: C:\WINDOWS\Tasks\help4u_updating_service.job => C:\Program Files (x86)\help4u\help4u_updating_service.exe§ /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=help4u_updating_service /funurl=hxxp:/stats.buildomserv.com Task: C:\WINDOWS\Tasks\Price Fountain.job => C:\Users\Tomasz\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\UpdateTask.job => C:\Users\Tomasz\AppData\Local\{0E9C3~1\UNINST~1.EXE GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Aggiorna ESET license.lnk [2015-04-08] S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1681403894-334063220-2750973403-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-1681403894-334063220-2750973403-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://fr.yhs4.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_30&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dfr%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyB0CtDyDtDyBtAtAtC0DyEzy0B0AyEzztN0D0Tzu0StCtBzyzytN1L2XzutAtFtCtBtFyDtFyCtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyEyDyBtB0E0B0FtAtGyC0E0B0BtG0Ezz0DyDtGyC0FyE0DtGzz0AtA0FyBzy0C0C0BtAtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCyCzztC0C0C0EyEtG0D0D0BtDtGyEzztAyEtG0B0DyCyCtGtA0A0BtDtCzy0A0D0C0DtAtA2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzzzzyC%26cr%3D997527101%26a%3Dwncy_ir_15_30%26os%3DWindows%2B8.1 HKU\S-1-5-21-1681403894-334063220-2750973403-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.msn.com/?pc=AV01 SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-1681403894-334063220-2750973403-1001 -> DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://fr.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_30&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyB0CtDyDtDyBtAtAtC0DyEzy0B0AyEzztN0D0Tzu0StCtBzyzytN1L2XzutAtFtCtBtFyDtFyCtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyEyDyBtB0E0B0FtAtGyC0E0B0BtG0Ezz0DyDtGyC0FyE0DtGzz0AtA0FyBzy0C0C0BtAtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCyCzztC0C0C0EyEtG0D0D0BtDtGyEzztAyEtG0B0DyCyCtGtA0A0BtDtCzy0A0D0C0DtAtA2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzzzzyC%26cr%3D997527101%26a%3Dwncy_ir_15_30%26os%3DWindows%2B8.1&p={searchTerms} SearchScopes: HKU\S-1-5-21-1681403894-334063220-2750973403-1001 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-1681403894-334063220-2750973403-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://fr.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_30&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyB0CtDyDtDyBtAtAtC0DyEzy0B0AyEzztN0D0Tzu0StCtBzyzytN1L2XzutAtFtCtBtFyDtFyCtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyEyDyBtB0E0B0FtAtGyC0E0B0BtG0Ezz0DyDtGyC0FyE0DtGzz0AtA0FyBzy0C0C0BtAtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCyCzztC0C0C0EyEtG0D0D0BtDtGyEzztAyEtG0B0DyCyCtGtA0A0BtDtCzy0A0D0C0DtAtA2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzzzzyC%26cr%3D997527101%26a%3Dwncy_ir_15_30%26os%3DWindows%2B8.1&p={searchTerms} SearchScopes: HKU\S-1-5-21-1681403894-334063220-2750973403-1001 -> {E42D9249-EB39-477F-9647-9127E803E00C} URL = Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HKLM\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1681403894-334063220-2750973403-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvastUI.exe /f RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\Tomasz\AppData\Local\{0E9C38C0-2A34-5478-47AC-719063C48D08} RemoveDirectory: C:\Users\Tomasz\AppData\Local\AdjudicationsPaleontologists RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\PriceFountain RemoveDirectory: C:\Users\Tomasz\Desktop\Stare dane programu Firefox C:\Users\Tomasz\AppData\Roaming\4UKOOyXwbSuEEhQb C:\Users\Tomasz\AppData\Roaming\Setup62601.exe C:\Users\Tomasz\AppData\Roaming\Uo9Dd04KrkUvCA7TwXESDJC114h C:\Users\Public\Desktop\Aggiorna ESET license.lnk C:\Users\Tomasz\Downloads\*-dp*.exe DisableService: PLAY ONLINE. RunOuc Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj + zaimportuj zakładki, a stary usuń całkowicie. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W Windows jest aktywna tzw. "infekcja bezplikowa" (loader jest zaszyfrowany w rejestrze, nie ma plików na dysku) uruchamiana via PowerShell: HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Run: [{5919B21C-1B82-4F17-85FF-5D62066E73A1}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\JLXVTLPJVAIKPA').YKEFZVOR))); Poza tym, widzę że wiele plików w różnych katalogach użytkownika ma atrybut R ("Tylko do odczytu"). To może być przyczyna innych problemów. Operacje do przeprowadzenia: 1. Odinstaluj starą wersję Java 7 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKCU\Software\Classes\JLXVTLPJVAIKPA HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Run: [{5919B21C-1B82-4F17-85FF-5D62066E73A1}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\JLXVTLPJVAIKPA').YKEFZVOR))); HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Policies\Explorer: [HideSCAHealth] 0 HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => No File ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => No File ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => No File CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1268698185-3662455055-1806142860-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File] StartMenuInternet: FIREFOX.EXE - firefox.exe CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\jurek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [dhigneefebkcagnpnpbibganpmfgebnk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\jurek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] S3 XFDriver64; no ImagePath S1 swenwvbx; \??\C:\Windows\system32\drivers\swenwvbx.sys [X] Task: {3AD55E9A-B71D-42D5-976B-72AB3A7AAA16} - \AutoKMS -> No File Task: {E00610B7-74B3-4E88-BD3E-BA8DBCC31BE5} - System32\Tasks\ASUS InstallAll ReInst => C:\Users\jurek\AppData\Local\Temp\\InstallAll\ReInst.exe DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v OfficeSyncProcess /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v svchost /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v APSDaemon /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v iTunesHelper /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "LogMeIn Hamachi Ui" /f CMD: netsh advfirewall reset RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\conoTinuetoisAve RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks RemoveDirectory: C:\Users\jurek\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks RemoveDirectory: C:\Users\jurek\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II.lnk C:\Users\jurek\AppData\Local\fvfnogoit.reg C:\Users\jurek\AppData\Roaming\9GPH0NJ1TN.exe C:\Users\jurek\AppData\Roaming\no C:\Users\jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk C:\Users\jurek\Desktop\Pulpit\GRIDAutosport — skrót.lnk C:\Users\jurek\Desktop\Pulpit\Skype.lnk C:\Users\jurek\Desktop\Pulpit\µTorrent.lnk C:\Windows\SysWOW64\pl.html CMD: attrib -r C:\Users\jurek\*.* /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przelądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz ręcznie ponownie). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik ten może być ogromny, ze względu na rekursywne ściąganie atrybutu "R" z całej ścieżki "C:\Users\jurek". Jeśli nie wszedłby do załącznika, shostuj gdzieś i podaj link do niego.

Wszystko zrobione, problemy podstawowe rozwiązane. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nie została w ogóle wykonana operacja w Google Chrome. Firefox został odinstalowany a nie zresetowany, co zostawiło na dysku cały zaśmiecony adware profil. Poprawki: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek po deinstalacji Adobe swMSM > Dalej. 2. Zaległy punkt: 3. Otwórz Notatnik i wklej w nim: Task: {A3AE150F-C798-43A4-993B-747CB21ABF44} - System32\Tasks\{3F66CEB8-3F05-4ACF-8C5D-140205FCEFC9} => pcalua.exe -a "C:\Program Files (x86)\USB Vibration Joystick\Setup\setup.exe" -d "C:\Program Files (x86)\USB Vibration Joystick\Setup" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 3 RemoveDirectory: C:\Users\Admin\AppData\Local\Mozilla RemoveDirectory: C:\Users\Admin\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Admin\AppData\Roaming\omiga-plus CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Log z GMER nie pochodzi z tego komputera, Windows 7 SP1 i użytkownik "Kise": Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-2 Crucial_CT128M550SSD1 rev.MU01 119,24GB Running: xtoyi7vc.exe; Driver: C:\Users\Kise\AppData\Local\Temp\aftcaaog.sys Ten komunikat Orange może być wynikiem innego aktywnego zainfekowanego komputera w tej samej sieci w której jesteś Ty. W raportach nie widzę żadnych oznak infekcji Sality, ani innych. A SalityKiller zawsze będzie raportował "Executed scripts: 1", nawet na czystym systemie, bo to jest automatyczny import do rejestru bez sprawdzania czy rzeczywiście takowa modyfikacja ma miejsce. PS. Tylko poboczne akcje do przeprowadzenia: 1. Odinstaluj zbędny McAfee Security Scan Plus. To sponsor produktów Adobe: KLIK. 2. W Google Chrome zresetuj cache wtyczek, by pozbyć się pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {7AD1B008-CA85-4200-8A74-3059CB2D2F59} - System32\Tasks\{E0DC0DF8-36E7-48CC-866F-32CBB3FCBB12} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.6.0.103/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {F942C242-D309-4D8E-B6A4-02F56EF1DC06} - System32\Tasks\{B221FAC5-B5C2-4414-AE50-680F251D3579} => Chrome.exe hxxp://ui.skype.com/ui/0/7.6.0.105/pl/abandoninstall?page=tsProgressBar U0 qrlpsmcl; C:\Windows\System32\drivers\jproxcgw.sys [79064 2015-12-17] (Malwarebytes) C:\Windows\System32\drivers\jproxcgw.sys S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] SearchScopes: HKU\S-1-5-21-1644087666-2204009049-2821983492-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Active@ KillDisk 9.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin\Origin Error Reporter.lnk C:\Users\Evenix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Shortcut to ShredIt Documentation.lnk C:\Users\Evenix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\Evenix\AppData\Roaming\Microsoft\Word\Katedra304882790885201834\Katedra.docx.lnk C:\Users\Evenix\Desktop\New folder (6)\New folder (8)\*.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są mi już potrzebne.

Wszystko wykonane poprawnie. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko pomyślnie przeprowadzone, problemy rozwiązane, ale jeszcze poprawki: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Logi FRST źle skonfigurowane, nie tak jak podane w instrukcjach na forum - sekcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Mnóstwo zbędnych danych. Inne nazwy raportów nie mają żadnego znaczenia i nie one identyfikują raport, tylko jego zawartość. Poproszę o link do tego tematu pokazujący co przetwarzano, bo są wątpliwości co Ci podano, skoro problem w raportach jest oczywisty: Jest tu infekcja routera. Poniższe IP nie są polskie, pomimo że widzę Cię na forum pod polskim IP Orange: KLIK / KLIK. Tu nie pomogą żadne skanery i narzędzia używane spod Windows, problem jest w innym urządzeniu. Tcpip\Parameters: [DhcpNameServer] 31.3.252.70 31.3.252.76 Tcpip\..\Interfaces\{15210E97-0B8D-4637-8A6F-1DAD74EEBA5B}: [DhcpNameServer] 31.3.252.70 31.3.252.76 Ale adware w Windows też jest (usługa WindowsMangerProtect i inne szczątki na dysku). Adware to poboczny problem, nabyłeś je w późniejszym czasie pobierając świństwa z portali. Poniższe pliki to nie są poprawne instalatory tylko "downloadery" portalowe. Więcej na ten temat: KLIK. 2015-12-16 22:31 - 2015-12-16 22:31 - 01034040 _____ (Program ) C:\Users\win7\Downloads\pobierz_Xvid_video_codec_V1.exe 2015-12-16 19:36 - 2015-12-16 19:36 - 01034040 _____ (Program ) C:\Users\win7\Downloads\pobierz_Mirc_V7.exe 2015-12-16 19:30 - 2015-12-16 19:30 - 00962128 _____ (Installer Soft Program ) C:\Users\win7\Downloads\mIRC-21017-dp.exe Operacje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Deinstalacje: - Odinstaluj zbędny program HP Customer Participation Program 13.0 oraz stary RealPlayer (jego wtyczki w Firefox to naruszenie bezpieczeństwa). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek po deinstalacji Adobe swMSM > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe [344232 2015-12-16] (Sysinternals process Explorer) S3 dump_wmimmc; \??\C:\Program Files (x86)\GameforgeLive\Games\POL_pol\Metin2\GameGuard\dump_wmimmc.sys [X] HKU\S-1-5-21-3438830426-1715894412-256234205-1000\...\Run: [Xvid] => powershell.exe -nologo -WindowStyle hidden -Noninteractive -NoProfile -ExecutionPolicy Bypass -File "C:\Program Files (x86)\Xvid\CheckUpdate.ps1" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130946813307959530&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130946813307959530&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3438830426-1715894412-256234205-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3438830426-1715894412-256234205-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3438830426-1715894412-256234205-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3438830426-1715894412-256234205-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3438830426-1715894412-256234205-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\win7\AppData\Roaming\Mozilla\Firefox\Profiles\hcpqjwfd.default-1450033318191\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\win7\AppData\Roaming\Mozilla\Firefox\Profiles\hcpqjwfd.default-1450033318191\extensions\yahooprotected@gmail.com => nie znaleziono FF HKU\S-1-5-21-3438830426-1715894412-256234205-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartpageing.com/?type=sc&ts=1450291089&z=1fe3b1a4ed785e77852bf4fg6z2wbe6o0tagde9t0o&from=cornl&uid=WDCXWD800JD-00LSA0_WD-WMAM9797309973099 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\DAEMON Tools Lite RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Program Files (x86)\Adobe RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Tmp0x0x RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{EF07764F-2F63-4751-8287-AC99F6CE0630} RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tomb Raider Legenda RemoveDirectory: C:\Users\win7\AppData\Local\CEF RemoveDirectory: C:\Users\win7\AppData\Local\Dxtory Software RemoveDirectory: C:\Users\win7\AppData\Local\GG RemoveDirectory: C:\Users\win7\AppData\Local\Microsoft\Windows\GameExplorer\{A590712B-BF7E-4DAB-95C9-21091799F9DA} RemoveDirectory: C:\Users\win7\AppData\Local\Microsoft\Windows\GameExplorer\{20E27775-588D-4DEF-B1DB-C9110AC34892} RemoveDirectory: C:\Users\win7\AppData\Local\Unity RemoveDirectory: C:\Users\win7\AppData\LocalLow\Adobe RemoveDirectory: C:\Users\win7\AppData\LocalLow\Macromedia RemoveDirectory: C:\Users\win7\AppData\Roaming\DMCache RemoveDirectory: C:\Users\win7\AppData\Roaming\GG RemoveDirectory: C:\Users\win7\AppData\Roaming\IrfanView RemoveDirectory: C:\Users\win7\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\win7\AppData\Roaming\yoursearching RemoveDirectory: C:\Users\win7\AppData\Roaming\sweet-page RemoveDirectory: C:\Users\win7\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\win7\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\system32\log RemoveDirectory: C:\Windows\SysWOW64\Adobe C:\Program Files\AVAST So C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Co nowego w ostatniej wersji.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk C:\Users\win7\Internet Explorer.lnk C:\Users\win7\IrfanView 64.lnk C:\Users\win7\LibreOffice 3.4.lnk C:\Users\win7\AppData\Local\setup.exe C:\Users\win7\AppData\Roaming\ICSW_1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1ItJ1V0R1P1T1R1M0I2Z.txt C:\Users\win7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\win7\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Co nowego w ostatniej wersji.lnk C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk C:\Users\win7\Downloads\*-dp*.exe C:\Users\win7\Downloads\pobierz_*.exe C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Program Files (x86)\Movies Folder: C:\Program Files (x86)\Screenshots CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowane wg wytycznych forum, bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj model routera, bo może być konieczna aktualizacja firmware.

W raportach nie widać żadnych oznak infekcji. Czy te zdarzenia z e-mail nadal się powtarzają? Metoda z "Media Creation Tool" - wybrałeś aktualizację, czy też tzw. "czystą instalację"? Trudno powiedzieć o co chodzi, bo nie ma żadnych danych. Ale jeśli aktualizacja była robiona spod działającego systemu, to podejrzany jest COMODO Internet Security.

Te typ wchodzi tymi metodami: KLIK. Tu musiał być użyty jakiś instalator, bądź "downloader" portalowy ze sponsorami.

Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\a2zLyrics-1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Cinema Plus v6V23.07 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CinemaPlus-3.2cV28.06 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Quiknowledge DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SmartWeb DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage Task: {3CEF2F7D-C66A-4BEF-8574-AF36D25B245C} - System32\Tasks\{EA7E4F0B-B522-4DB7-80FD-4ECA9947398A} => pcalua.exe -a "C:\Program Files (x86)\a2zLyrics-1\Uninstall.exe" -c /fromcontrolpanel=1 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Users\User\AppData\Local\SmartWeb RemoveDirectory: C:\Users\User\AppData\Local\Xmas Mix RestoreQuarantine: C:\FRST\Quarantine\C\Users\User\AppData\Local\GG CMD: del /q C:\Users\User\AppData\Local\GG\Application\gg.lnk EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Problem stanowi szkodliwe zadanie FlummoxTramplersV2 w Harmonogramie zadań. Operacje do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare niebezpieczne wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 - Polish, Adobe Shockwave Player 11.6, Java 7 Update 51, Real Alternative 2.0.2, Windows Media Player Firefox Plugin. - W systemie są aktywne odpadki niepoprawnie odinstalowanego McAfee. Zastosuj z poziomu trybu awaryjnego narzędzie McAfee Consumer Product Removal Tool. Po jego użyciu opuść tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0FD172EB-E137-40CE-9383-523C90919E8D} - System32\Tasks\{C98D2F09-2131-4F61-991F-D966AAE139B1} => pcalua.exe -a C:\Users\kasia\Desktop\PhotoshopPortable.exe -d C:\Users\kasia\Desktop Task: {10E7A1C5-1C85-45FE-A1EB-1EF7D7CF157C} - System32\Tasks\{8344B6A0-C265-4BE2-AD6E-0B39C8FFCD0E} => pcalua.exe -a "C:\Users\kasia\Desktop\moja sensimila (3)\X16-42937_Q8CP4-9B9X9-DFQJ9-23X89-66BD9.exe" -d "C:\Program Files (x86)\Mozilla Firefox" Task: {215E7AC6-6F70-46EC-AE8E-78DB0FD58D28} - System32\Tasks\{56174926-F908-4CC2-8FFB-30DBD31FA3BA} => pcalua.exe -a C:\Users\kasia\Desktop\eJay_Techno\Techno_eJay2.EXE -d C:\Users\kasia\Desktop\eJay_Techno Task: {3ABFF9D3-AB01-40DB-96BC-09772DCEB0F1} - System32\Tasks\{E2E7984C-9EB9-49F3-8EFB-DC8B0953C2DA} => pcalua.exe -a H:\Install.exe -d H:\ Task: {51996515-5103-44AC-ADF3-CF62DD3C489B} - System32\Tasks\{932D6DCE-BA6A-4B97-8BD8-0794F7A06224} => pcalua.exe -a E:\instaluj.exe -d E:\ -c /VERYSILENT Task: {61F8827E-1CDF-48AF-9357-455B099BB2E1} - System32\Tasks\{95C1CB9D-7BC6-4F62-B0DA-7850D9795D94} => C:\Program Files (x86)\Ares\Ares.exe Task: {90098B19-E468-4000-B1E0-DD68417034FB} - System32\Tasks\{39249E0D-8611-48FB-AE60-2261FFF0FD60} => pcalua.exe -a "C:\Users\kasia\Downloads\Firefox Setup 3.6.3.exe" -d C:\Users\kasia\Downloads Task: {BE044C34-6201-4298-A114-4F98FEE1DE79} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - kasia) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: {C0D2E2BB-D74F-4E43-A565-EA2D4D58D30F} - System32\Tasks\{76FD0DDA-40F1-48BC-87D2-715FBD6EB2DB} => C:\Users\kasia\Desktop\PhotoshopPortable.exe Task: {C991CF5B-CE42-4648-95A5-398F53A91E93} - System32\Tasks\{1BCC2B7D-3EB0-453E-AE06-662C518AEE92} => pcalua.exe -a "C:\Users\kasia\Desktop\pulpit\moja sensimila (3)\ogrodnik-foto-sender.exe" -d "C:\Users\kasia\Desktop\pulpit\moja sensimila (3)" Task: {D1DE56B1-43D5-4F8A-A70F-78159D911EAD} - System32\Tasks\{DBFF7C2C-E046-4BD3-9729-E3F6934BDA63} => pcalua.exe -a "C:\Users\kasia\PHOTOSHOP\Portable Photoshop CS4 v11 [PL]-portable\PhotoshopPortable.exe" -d "C:\Users\kasia\PHOTOSHOP\Portable Photoshop CS4 v11 [PL]-portable" Task: {D757114B-9DA2-4B92-928B-5BE652B99DE9} - System32\Tasks\{56B649B6-74C4-4E71-A003-A84BFA936356} => pcalua.exe -a "C:\Program Files (x86)\Rockstar Games\GTA San Andreas\Spolszczenie GTA San Andreas.exe" -d "C:\Program Files (x86)\Rockstar Games\GTA San Andreas" Task: {D9A3B4CA-D880-4B27-A39E-E21F97E4FBCB} - System32\Tasks\FlummoxTramplersV2 => Rundll32.exe EtcherBangers.dll,main 7 1 Task: {F1A37A86-872B-400E-832E-0363EB8D9E86} - System32\Tasks\{A37F927E-CD62-4943-9016-1687F29FC2E7} => pcalua.exe -a "C:\ZTE usb driver\setup.exe" -d "C:\ZTE usb driver" Task: {F200A740-70F6-417E-A593-6F49D9BBB466} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe S3 hitmanpro37; C:\Windows\system32\drivers\hitmanpro37.sys [41080 2015-12-09] () S3 SliceDisk5; \??\C:\Program Files\A-FF Find and Mount\slicedisk-x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = google.pl HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = google.pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = Toolbar: HKU\S-1-5-21-1385906984-4180755174-2517437104-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sony Ericsson PC Companion DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\found.000 RemoveDirectory: C:\Qoobox RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HipHop eJay 2 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex II Demo RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony Ericsson RemoveDirectory: C:\Users\kasia\AppData\Local\FlummoxTramplers RemoveDirectory: C:\Users\kasia\AppData\Local\Mozilla RemoveDirectory: C:\Users\kasia\AppData\Roaming\AVG\AWL2012 RemoveDirectory: C:\Users\kasia\AppData\Roaming\DarkEra RemoveDirectory: C:\Users\kasia\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\kasia\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tahni DeskMate\ RemoveDirectory: C:\Windows\0028CB34D5D3460FB308A39A095A5E01.TMP RemoveDirectory: C:\Windows\system32\log C:\Users\Administrator\Links\Downloads.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\I-Doser v3\Dose Files Folder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Powerbullet\Repair Powerbullet Presenter installation.lnk C:\Users\kasia\*.exe C:\Users\kasia\AppData\Local\{F89C7AA6-BF38-48A6-845F-7689CC769570} C:\Users\kasia\AppData\Roaming\ARCompanion.log C:\Users\kasia\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Toxic Biohazard\Toxic Biohazard Online.lnk C:\Users\kasia\GIMP 2.lnk C:\Users\kasia\Nokia PC Suite.lnk C:\Users\kasia\papieros 2.gif.lnk C:\Users\kasia\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\kasia\Desktop\pulpit\muza\Perfekt_-_Ko_ysanka_Dla_Nieznajomej.mp3.lnk C:\Users\kasia\Desktop\pulpit\jakies cos muzyka\kasia foto.lnk C:\Users\kasia\Desktop\pulpit\jakies cos muzyka\Skrót do ___ARESTRA___kasia kowalska - dokąd mam biec(2).lnk C:\Users\kasia\Desktop\pulpit\jakies cos muzyka\fuzk off!\outkast - speakerboxx the love below - hey ya - Kopia.lnk C:\Users\kasia\Desktop\pulpit\jakies cos muzyka\fuzk off!\outkast - speakerboxx the love below - hey ya.lnk C:\Users\kasia\Desktop\pulpit\jakies cos muzyka\fuzk off!\Rank_1_-_Breathing.lnk C:\Users\kasia\muza - Kopia\02_Jah_jest_Prezydentem_mp3.lnk C:\Users\kasia\muza - Kopia\Koncepcja_IZI_-_Prosto_Z_Mostu_Diss_WTR_Squad_REMASTERED.lnk C:\Users\kasia\muza - Kopia\outkast - speakerboxx the love below - hey ya - Kopia.lnk C:\Users\kasia\muza - Kopia\outkast - speakerboxx the love below - hey ya.lnk C:\Users\kasia\muza - Kopia\Perfekt_-_Ko_ysanka_Dla_Nieznajomej.lnk C:\Users\kasia\muza - Kopia\Rank_1_-_Breathing.lnk C:\Users\kasia\muza - Kopia\Skrót do ___ARESTRA___kasia kowalska - dokąd mam biec(2).lnk C:\Windows\system32\Drivers\hitmanpro37.sys CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponowie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Odinstaluj adware WinZipper. 2. W systemie są aktywne komponenty niepoprawnie odinstalowanego skanera StopZilla, które filtrują karty sieciowe. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > z prawokliku na każde obecne połączenie pobierz Właściwości > wyszukaj element podobny do poniższego (możliwe nazwy to Sunbelt / GFI / ThreatTrack NDIS IM Filter), podświetl, odinstaluj i zresetuj system. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Jacek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\MWdMM\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 gfiark; C:\Windows\System32\drivers\gfiark.sys [43368 2013-05-23] (ThreatTrack Security) S3 gfiutil; C:\Windows\System32\drivers\gfiutil.sys [24040 2013-09-04] (ThreatTrack Security) R2 sbapifs; C:\Windows\System32\DRIVERS\sbapifs.sys [70888 2013-10-01] (ThreatTrack Security, Inc.) S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 SBRE; \SystemRoot\system32\drivers\SBREDrv.sys [X] ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350 ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3686410479-3997652338-1969191703-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226 HKU\S-1-5-21-3686410479-3997652338-1969191703-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431082016&z=9348754c8f5a231f5bcda6ag8z9cegde6b9ocefgdw&from=wpm05083&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431082016&z=9348754c8f5a231f5bcda6ag8z9cegde6b9ocefgdw&from=wpm05083&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms} SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1425449658&from=zbd1&uid=wdcxwd3200bevt-22zct0_wd-wxj0a69m2350m2350&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350" CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - \User Data\Default\Extensions\newtab.crx Task: {D7DEC4DF-F2E8-4BF1-A7CB-AD4459C12F57} - System32\Tasks\{E5BD5A8D-0A77-4591-B0D1-45E28A57CE26} => pcalua.exe -a "C:\Program Files\STOPzilla\SBSetupDrivers.exe" -d "C:\Program Files\STOPzilla" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SBAMSvc => ""="Service" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\yoursites123Software RemoveDirectory: C:\Program Files\SFK RemoveDirectory: C:\Program Files\WinZipper RemoveDirectory: C:\ProgramData\MWdMM RemoveDirectory: C:\ProgramData\nWdMn RemoveDirectory: C:\ProgramData\Mozilla RemoveDirectory: C:\ProgramData\WindowsMangerProtect RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STOPzilla RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Jacek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Jacek\AppData\Roaming\TSv RemoveDirectory: C:\Users\Jacek\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Windows\system32\pl.html C:\Windows\System32\drivers\gfiark.sys C:\Windows\System32\drivers\gfiutil.sys C:\Windows\System32\drivers\sbapifs.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony. Podane raporty FRST to nie są oryginalne pliki w kodowaniu UTF-8, tylko zapisane ponownie do nowych plików w kodowaniu ANSI, całe formatowanie zepsute. Proszę zrobić porządne logi FRST od nowa: KLIK. Trzy pliki są obowiązkowe, w tym Shortcut.

bolimnienoga Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony tu: KLIK. I proszę zrobić nowe logi FRST, bo dostarczone są niepoprawne. maciek98123 Na koncie fifa jest zainfekowany odpadkowy profil Google Chrome zawierający adware Sale Charger. Poprawki: 1. Mam nadzieję, że Google Chrome nie zostało jeszcze ponownie zainstalowane. Ponownie uruchom Zoek i w oknie wklej: Google Update Helper;u Klik w Run Script. Powstanie plik zoek-results.log (ręcznie zmień mu nazwę z *.log na *.txt). Przedstaw go. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\fifa\AppData\Local\Google RemoveDirectory: C:\Users\Marcin\AppData\Local\Google EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

1. Spodziewane zachowanie. Resetowałam reguły Zapory systemu w skrypcie (komenda netsh firewall reset), stąd nowe pytania o autoryzacje. Potwierdzić dostęp w/w programów. 2. Potem zainstalujesz najnowszą wersję stąd: KLIK. I potem trzeba będzie przeinstalować Adobe Flash NPAPI dla Firefox, bo coś się z nim stało w międzyczasie. Ale spokojnie, to na końcu. Wszystko zrobione. Lecimy dalej z poprawkami: 1. Odpadki RealPlayer: - W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj RealPlayer HTML5Video Downloader Extension. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis RealUpgrade 1.1 > Dalej. 2. Otwórz Notatnik i wklej w nim: S3 AdobeFlashPlayerUpdateSvc; C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe [X] Startup: C:\Documents and Settings\Anusia\Menu Start\Programy\Autostart\OpenOffice.ux.pl 2.3.1.lnk [2009-02-03] Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-790525478-725345543-1004.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-790525478-725345543-1006.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-790525478-725345543-1004.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-790525478-725345543-1006.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe CustomCLSID: HKU\S-1-5-21-2052111302-790525478-725345543-1004_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Dropbox\bin\Dropbox.exe /autoplay => Brak pl (dane wartości zawierają 3 znaków więcej). DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DisableService: DigitalWave.Update.Service FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32_20_0_0_235.dll [brak pliku] C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\OpenOffice.ux.pl2 C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Real C:\Program Files\OpenOffice.ux.pl 2.3.1 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Brakuje nowego głównego skanu FRST.txt. Uzupełnij.

DelFix zrobił co należy. Teraz już możesz ten plik skasować. To tyle z mojej strony.

Masz wykonać to: Jest tu natywnie niemiecki system, nie jestem pewna czy masz zainstalowane polskie MUI, więc gdyby wklepanie polskiej frazy na ekranie nie zwracało wyników, to można też dostać się w ten sposób (nanieś poprawki na niemieckie nazwy opcji): Z klawiatury klawisz z flagą Windows + X > z menu wybierz opcję Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > patrz wyżej na obrazki. Plik można usunąć, ale go nie pokazałeś...

Ale ten tekst mi sugeruje że Ty chcesz czyścić foldery ... ręcznie? Foldery są zawsze zablokowane ("Odmowa dostępu") i tak ma być. Tam jest wyraźnie napisane, że czyszczenia ręcznego bezpośrednio w folderach się absolutnie nie robi. Czyszczenie jest tylko via opcje Windows. Avast jest OK, nie widzę powodów do zmiany.

Nie tym razem, poprzednio UTF-8 było potrzebne tylko po to, by przetworzyć ten plik z "chińską" nazwą. Ale Fix wykonany. Na koniec: Usuń FRST i jego logi z folderu C:\Users\Czarek\Desktop\Skan. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Infekcja na pewno nie jest przyczyną. Przegrzewanie = wątek do działu Hardware. Na dysku były dwa (zakreślone kolorem to obiekty adware), usuń ręcznie ten folder który ciągle na dysku widzisz: Możesz jeszcze odinstalować zbędny HP Deskjet 3050A J611 series Product Improvement Study. I ten drobny skrypt czyszczący szczątkowe wpisy + puste skróty, w tym komponenty najwyraźniej odinstalowanego już Magic Desktop od EasyBits. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {A451C592-DFB4-4B75-8F86-4C543ECD0CBD} - \DGChrome13713 Watcher -> Brak pliku Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku R2 ezSharedSvc; C:\Windows\SysWOW64\ezSharedSvcHost.exe [514232 2010-04-23] (EasyBits Software AS) [brak podpisu cyfrowego] HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\...\Policies\system: [DisableLockWorkstation] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\...\Policies\Explorer: [NoLogoff] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\ezScrSvr.scr SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1887808651-3785465729-460270364-1001 -> {e4a1ece8-ed94-4f93-80ea-75f978ceaf24} URL = BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1887808651-3785465729-460270364-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\ewa marcin\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku FirewallRules: [{6CB63768-49C8-46C1-96F2-2C545F728412}] => (Allow) C:\Windows\system32\ezSharedSvcHost.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\Malwarebytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support\HP Connection Manager.lnk C:\Users\ewa marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton\Norton Installation Files.lnk C:\Users\ewa marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Users\ewa marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Norton Internet Security.lnk C:\Users\ewa marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Norton Internet Security.lnk C:\Windows\SysWOW64\ezSharedSvcHost.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

Mini poprawka. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2451408768-821268778-953564908-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Czarek\AppData\Local\Akamai\netsession_win.exe" DeleteKey: HKCU\Software\DownloadProtect DeleteKey: HKLM\SOFTWARE\Classes\Interface\{F2DB3739-77FB-41EB-9ED3-ABF34DF2DBF7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Clara DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{F2DB3739-77FB-41EB-9ED3-ABF34DF2DBF7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{E7BF74EE-9106-4113-B216-2F980BA29141} DeleteKey: HKU\S-1-5-21-2451408768-821268778-953564908-1001\Software\DownloadProtect RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Windows\Installer\{D66F33C3-C1F7-4266-91C7-33F95D7A8E1B} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.