picasso

Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Wprawdzie w Harmonogramie zadań siedzi miner (Tasker21), ale nie widzę nic bezpośrednio związanego z automatyczną reinstalacją Crazy Shooting (widać tylko to rozszerzenie, ale brak reinstalatora w rejestrze, czy innego obiektu jawnie powiązanego). Wstępnie usuńmy co widać i zobaczymy jakie to przyniesie skutki. Operacje do wdrożenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: Task: {7155B8BB-9930-4F9D-AD24-6C7147E4A5AA} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {975FBD52-CF71-4AE4-B8AC-E21F2766F42B} - System32\Tasks\Tasker21 => C:\Users\Kuba\AppData\Roaming\Lib\tskschd.exe [2017-12-02] () Task: {CDC103DD-723C-45EF-A071-A49B14B934A7} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "uTorrent" HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "World of Tanks" HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "CyberGhost" HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "Kaspersky Software Updater" HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "BlueStacksFriends" HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe GroupPolicy: Ograniczenia CustomCLSID: HKU\S-1-5-21-1750907558-4260668389-1687080380-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1750907558-4260668389-1687080380-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1750907558-4260668389-1687080380-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> Brak pliku DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Folder: C:\Users\Kuba\AppData\Roaming\java Folder: C:\Users\Kuba\AppData\Roaming\Lib C:\Users\Kuba\AppData\Roaming\java C:\Users\Kuba\AppData\Roaming\Lib C:\Users\Kuba\AppData\Roaming\Mozilla C:\Users\Kuba\AppData\Roaming\TunnelBear C:\Users\Kuba\AppData\Roaming\uTorrent C:\Users\Kuba\AppData\Local\Mozilla C:\Users\Kuba\AppData\LocalLow\Mozilla C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\TEMP C:\ProgramData\MAGIX\Music Maker\25\MxSynth\Concert Grand LE.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. W pasku adresów wpisz chrome://extensions i ENTER. Odinstaluj Crazy Shooting. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Kończymy: 1. Zastosuj DelFix, by usunąć używane skanery. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj archaiczną wersję Internet Explorer 8 do wersji 11. Instalator bezpośredni podany w w/w linku. Po instalacji uruchom Windows Update w celu doładowania reszty łat.

Wszystko pomyślnie wykonane. Drobny skrypt końcowy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\SUPERDelete RemoveDirectory: C:\ProgramData\mks_vir RemoveDirectory: C:\ProgramData\SUPERAntiSpyware.com RemoveDirectory: C:\Users\Marcin\Desktop\FRST-OlderVersion Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Usuwanie pomyślnie przeprowadzone. Końcowe czynności: 1. Usuń z dysku pusty skrót: C:\Users\Benduch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wersja deweloperska Google Chrome.lnk 2. Zastosuj DelFix, by pozbyć się używanych narzędzi diagnostycznych.

Zasady działu: raporty z przestarzałego OTL od bardzo dawna nie są tu już brane pod uwagę, usuwam. Zestaw raportów FRST zaś niekompletny - brak pliku Shortcut.txt. Problemem jest ustawione szkodliwe proxy. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: RemoveProxy: GroupPolicy: Ograniczenia HKU\S-1-5-21-1424315779-3385797713-2380810535-1000\...\Run: [MinerGateGui] => C:\Program Files\MinerGate\minergate.exe --auto HKLM\...\Run: [MouseDriver] => TiltWheelMouse.exe U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath CustomCLSID: HKU\S-1-5-21-1424315779-3385797713-2380810535-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Krystian\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1424315779-3385797713-2380810535-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Krystian\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1424315779-3385797713-2380810535-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Krystian\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\KMSpico C:\Users\Krystian\Downloads\Niepotwierdzony 401947.crdownload cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.

Czysty rozruch: skoro zmiana jest widoczna, wytypuj które wpisy stanowią problem. Zacznij odwracać zmiany poprzez włączenie pojedynczych wpisów, za każdym razem zatwierdzając restartem. Fix: Plik Fixlog wskazuje, że nic nie zostało wklejone w Notatniku... Powtórz operację.

Temat został już przeniesiony, więc kontynuuj tym temacie. Czy sprawdziłeś czysty rozruch? W raporcie Addition pozycja jest widoczna, więc być może stan dewastacji tak obszerny, iż wejście nie jest już traktowane jako "zainstalowane". Dla formalności doczyść ten szczątek. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\pandasecuritytb ExportKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP RemoveDirectory: C:\FRST\Quarantine Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw fixlog.txt.

Temat przenoszę do działu Windows, to nie jest infekcja. Owszem, w starcie jest plik BAT: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\fcbd.bat [2017-02-04] () Ale ten plik wygląda na powiązany z Far Cry Blood Dragon, który jest zainstalowany: Far Cry 3 Blood Dragon (HKLM-x32\...\Uplay Install 205) (Version: - Ubisoft) Plik usunę ze startu, przy okazji adresując także inne szczątki (m.in. po odinstalowanym Comodo). Czynności do wykonania w spoilerze: Z raportów nic nie wynika. Czy sprawdzałeś tryb "czystego rozruchu" Windows? Czy wyłączenie Adguard ma jakiś wpływ na Chrome?

By się upewnić, czy monitor "oskb" został zainstalowany celowo? Skrypt pomyślnie wykonany. Drobne poprawki: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" EndRegedit: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\...\Run: [Akamai NetSession Interface] => "C:\Users\proj01\AppData\Local\Akamai\netsession_win.exe" URLSearchHook: [S-1-5-21-1204853592-1244451205-1784681606-1004] UWAGA => Brak domyślnego URLSearchHook RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\globalUpdate Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Wygląda na to, że przed zrobieniem raportów FRST obiekty malware zostały już usunięte, tylko ciągle proces skryptów był załadowany. W wynikach Fixlist folder "appmr" był pusty, więc już niegroźny. Pozostałe akcje pomyślnie wykonane, więc końcowe kroki: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku foldery C:\FRST i C:\Users\Milosz\Desktop\Programy\frst. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Adobe Flash ActiveX i PPAPI. Linki bezpośrednie również w w/w odnośniku.

Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat zamykam.

Podałam inny program do skanu: Malwarebytes Anti-malware, a nie AdwCleaner.

Ten odczyt mówi, że kluczy w ogóle już nie ma, co by tłumaczyło dlaczego nie można ich usunąć. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Temat sprzed kilku miesięcy, brak odpowiedzi, więc zamykam. Skomentuję na koniec te wątki: Kursor z ręką to normalna sprawa na tej bocznej liście dysków. Widzę go po najechaniu na dowolny dysk tam widoczny. Przecież przycisk "Pobierz" w moim opisie prowadzi do tej samej strony.

Infekcja pomyślnie usunięta, co nie oznacza, że komunikat zniknie od razu. To zabezpieczenie po stronie serwera i komunikat będzie wysytępował dopóki IP jest na czarnej liście. Nic w tej kwestii nie da się więcej zrobić poza odczekaniem na automatyczne zdjęcie blokady lub zgłoszeniem problemu dostawcy Netia. Kolejne kroki: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST, by kwarantanna nie była wykrywana w skanie zadanym poniżej. 2. Przeprowadź pełne skanowanie za pomocą Malwarebytes Anti-Malware. Dostarcz raport ze skanu, o ile coś zostanie wykryte.

Post sprzed prawie dwóch miesięcy. Jeśli problemy nadal aktualne, pobierz najnowszą wersję FRST i dostarcz nowe logi. Komentując dane dostarczone powyżej: raporty FRST wyglądają na pochodzące sprzed usuwania. Widać w nich aktywny ProxyGate (jakoby odinstalowany) oraz wpisy rzekomo usunięte skryptem FRST. Notabene, wpisów do usunięcia było więcej. M.in. program EnjoyWifi, ale tym zajął się MBAM. Mam szczere wątpliwości czy infekcja routera miała miejsce. W raporcie FRST było wiele linii DhcpNameServer, przy czym dwie z nich (włącznie z linią sugerującą bieżącą konfigurację) kierują na poprawne adresy Vectry. Te odnoszące się do szkodliwych adresów prawdopodobnie tyczą starych ustawień / usuniętych połączeń niekonfigurowalnych poprzez zalogowanie do routera Tcpip\Parameters: [DhcpNameServer] 31.11.202.254 37.8.214.2 Tcpip\..\Interfaces\{42641943-f36e-49e3-bfd0-4d4b2e7fb115}: [DhcpNameServer] 82.163.143.176 Tcpip\..\Interfaces\{558a6eb2-532d-48fb-b789-32dc69d4d1b2}: [DhcpNameServer] 31.11.202.254 37.8.214.2 Tcpip\..\Interfaces\{e9bb84a4-b039-4307-a252-ae0911dda439}: [DhcpNameServer] 82.163.143.176 To raczej nie ma to związku z infekcją. W raporcie są następujący kandydaci mogący produkować ten efekt: 1. Zadania Office - dla porównania ten temat. Task: {7039B68C-E6BD-462B-97DB-CA0F499F3A87} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerLogon => C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2018-01-21] (Microsoft Corporation) Task: {7B063169-C954-4CC1-9456-D219FFED3FBB} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerRegistration => C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2018-01-21] (Microsoft Corporation) 2. Zadanie "FUB" Acer. Podobny problem, ale na innym wariancie zadania "FUB" w tym temacie. Task: {7C1CB7A7-0429-4C46-B487-4C3536815F9C} - System32\Tasks\FUBTrackingByPLD => C:\OEM\Preload\FubTracking\FubTracking.exe [2015-05-14] ()

Bez zmian, te dwa klucze nie chcą się usunąć. Nie jest to zbyt duży problem, ale dla porządku wypada dokończyć sprawę. Dostarcz uprawnienia tych kluczy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: ListPermissions: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Krystrian ListPermissions: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Usunąłeś już konto, ale potwierdzę, że problemem była infekcja osadzona na poprzednim koncie: HKLM-x32\...\RunOnce: [{7DAD368B-FB88-46BA-8D68-5823584DABDD}] => cmd.exe /C start /D "C:\Users\pycio\AppData\Local\Temp" /B {7DAD368B-FB88-46BA-8D68-5823584DABDD}.cmd HKU\S-1-5-21-2948902497-3262320950-2415622978-1001\...\Winlogon: [Shell] C:\Windows\System32\cmd.exe [272896 2017-09-29] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-21-2948902497-3262320950-2415622978-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\pycio\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\pycio\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA Temat zamykam.

Temat przenoszę do działu Software, to nie jest problem infekcji. Z raportów FRST nic nie wynika pod kątem problemu, a w Firefox nie widać nic szczególnego: FireFox: ======== FF ProfilePath: C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default [2018-03-13] FF user.js: detected! => C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default\user.js [2017-08-02] FF Homepage: Mozilla\Firefox\Profiles\a1bxk7g1.default -> hxxp://google.pl FF Extension: (NetVideoHunter) - C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default\Extensions\netvideohunter@netvideohunter.com [2017-11-28] [Legacy] FF Extension: (Download Status Bar) - C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default\Extensions\{6c28e999-e900-4635-a39d-b1ec90ba0c0f}.xpi [2018-01-11] [Legacy] FF Extension: (Easy Youtube Video Downloader Express) - C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default\Extensions\{b9acf540-acba-11e1-8ccb-001fd0e08bd4}.xpi [2018-02-19] FF Extension: (Adblock Plus) - C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2018-02-19] Mozilla Firefox 56.0 (x86 pl) (HKLM\...\Mozilla Firefox 56.0 (x86 pl)) (Version: 56.0 - Mozilla) Sugestie: - Sprawdź czy nastąpią zmiany po wyłączeniu osłony web w AVG. - Sprawdź czy Adblock Plus nie przetwarza zbyt dużej ilości filtrów oraz czy pomoże zamiana na uBlock Origin. - Sprawdź czy problem występuje na czystym rozruchu Firefox: menu Pomoc > Uruchom ponownie z wyłączonymi dodatkami - Sprawdź czy pomoże reset Firefox (zakładki i hasła nie zostaną naruszone): menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. - Zaktualizuj Firefox. Wg FRST masz zainstalowaną wersję 56, podczas gdy najnowsza to Firefox 59.

Tematy sklejam, nie ma podstaw do szukania infekcji, a z raportów FRST nic nie wynika w kontekście problemu.

Temat przenoszę do działu Software, to nie jest problem infekcji. Zgłoszenie "rootkit" w raporcie to fałszywy alarm, 360 Total Security został odinstalowany, ale najwyraźniej log zrobiono przed restartem systemu i w pamięci nadal był załadowany sterownik tego programu: HKLM\SYSTEM\CurrentControlSet\Services\360FsFlt <==== UWAGA (Rootkit!) Jeśli chodzi o problem zasadniczy, to być może właśnie oprogramowamie zabezpieczające ma tu jakiś wpływ. Nasuwa się pytanie czy po deinstalacji 360 i restarcie systemu nadal ujawnia się ten problem. Jeśli tak, to kolejnym podejrzanym jest ESET Smart Security. PS. W spoilerze drobne czyszczenie szczątków po odinstalowanych programach i czyszczenie Tempów.

Na przyszłość: jak mówiłam, nie wyciągaj logów z katalogu C:\FRST\Logs. Jeśli chodzi o Fix, to niektóre klucze nie zostały usunięte. Poprawki: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Krystrian DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Aktywnej infekcji nie widać, natomiast są do usunięcia szczątki adware i programów oraz korekta błędów w Dzienniku zdarzeń: Error: (03/15/2018 11:05:45 AM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: VD_FileDisk Error: (03/15/2018 11:05:30 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi CLCV0 z powodu następującego błędu: CLCV0 nie jest prawidłową aplikacją systemu Win32. Error: (03/15/2018 11:05:28 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Nero BackItUp Scheduler 4.0 z powodu następującego błędu: Nie można odnaleźć określonego pliku. Error: (03/15/2018 11:05:27 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Kmm4xNT z powodu następującego błędu: Nastąpiło zablokowanie ładowania sterownika Error: (03/15/2018 11:05:27 AM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\Drivers\Kmm4xNT.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Operacje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj program wątpliwej reputacji SpyHunter 4 oraz zbędny downloder produktów Autodesk Akamai NetSession Interface. Po deinstalacji uruchom dodatkowo SpyHunterCleaner. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1423819233&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1423819233&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms} HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=C85694DE8013A3C6&affID=125036&tsp=5039 HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms} URLSearchHook: [S-1-5-21-1204853592-1244451205-1784681606-1004] UWAGA => Brak domyślnego URLSearchHook URLSearchHook: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 - (Brak nazwy) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - Brak pliku SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q= SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://start.qone8.com/?type=sc&ts=1383641646&from=cor&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA S2 UTSCSI; C:\Windows\SysWOW64\UTSCSI.EXE [0 2016-11-18] () <==== UWAGA (zerobajtowy plik/folder) S2 Kmm4xNT; C:\Windows\SysWow64\Drivers\Kmm4xNT.sys [95484 2002-04-26] (DATOM Dariusz Cielebąk) [Brak podpisu cyfrowego] S1 VD_FileDisk; C:\Windows\System32\Drivers\VD_FileDisk.sys [23552 2009-10-25] (Flint Incorporation) [Brak podpisu cyfrowego] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] MSCONFIG\startupreg: oskb => C:\Windows\system32\oskb\oskb.exe Task: {0496B978-4038-47D1-A3F7-71C012BAB4C9} - System32\Tasks\{924DD76E-070A-4EFB-8D34-2073A4DD95F9} => C:\Windows\system32\pcalua.exe -a C:\Users\proj01\Desktop\PDT_Gru.2.02.11\PDT_Gru.2.02.11.exe -d C:\Users\proj01\Desktop\PDT_Gru.2.02.11 Task: {ACDFD66A-2495-4734-8177-CDB239D9D651} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {B10B92F5-6B0E-4E4D-A42A-9CF6E31790B7} - System32\Tasks\{AE9022E9-4E7D-4277-8277-2D992A30FFA2} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Zuzia9\Hasp\hinstall.exe" -d "C:\Program Files (x86)\Zuzia9\Hasp" Task: {B6DFA886-3197-4729-840A-66BF8F2E172F} - System32\Tasks\{EC1323C8-D1D6-4B1C-98E6-137D01607CBE} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Gstarsoft\GstarCAD2016\setup.exe" Task: {BF3A5097-5510-4BFA-BF9B-279EF58B1E73} - System32\Tasks\{7E130134-05F3-4C89-9C4D-377D4DB70CC6} => C:\Windows\system32\pcalua.exe -a C:\Users\proj01\Desktop\2010-07-12_7-16_WAVPL_DOR.exe -d C:\Users\proj01\Desktop Task: {BF5E9219-8703-4C9C-8824-E4937CCAF385} - System32\Tasks\{5E0C6FD2-9F9F-4A99-BFBF-BF2E496A2705} => C:\Windows\system32\pcalua.exe -a C:\Users\proj01\Desktop\kml_tools_pro_x32\Setup.exe -d C:\Users\proj01\Desktop\kml_tools_pro_x32 CustomCLSID: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004_Classes\CLSID\{3faa4380-a399-11cf-a466-00805fe418f6}\InprocServer32 -> C:\Program Files\Autodesk\DWG TrueView 2017 - English\en-US\dwgviewrficn.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004_Classes\CLSID\{720DB9AF-D62C-4ED0-A377-429C22312852}\localserver32 -> C:\Program Files\Autodesk\DWG TrueView 2017 - English\dwgviewr.exe => Brak pliku FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [Brak pliku] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [Brak pliku] StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\ProgramData\TEMP C:\Users\proj01\AppData\Local\{*} C:\Users\proj01\AppData\Roaming\Microsoft\*.* C:\Users\proj01\AppData\Local\Google\Chrome\User Data\Default C:\Users\proj01\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\proj01\AppData\Local\Google\Chrome\User Data\System Profile C:\Windows\system32\Drivers\*.tmp C:\Windows\System32\Drivers\VD_FileDisk.sys C:\Windows\SysWOW64\UTSCSI.EXE C:\Windows\SysWow64\Drivers\Kmm4xNT.sys Folder: C:\Windows\SysWOW64\oskb File: C:\Windows\SysWOW64\oskb\oskb.exe Hosts: cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

System jest zainfekowany, szkodnik uruchamia się jako alternatywna powłoka Windows. Operacje do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3276139969-1455258867-2993420445-1000\...\Winlogon: [shell] explorer.exe,"C:\ProgramData\hssad\ddfsf.exe" Task: {2EE0639C-71C5-4614-B579-3670C0F3A455} - System32\Tasks\UpdateChecker => C:\Users\BlackBOX\AppData\Roaming\taskmg.exe S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] MSCONFIG\startupreg: uTorrent => "C:\Users\BlackBOX\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] C:\ProgramData\hssad C:\Users\BlackBOX\AppData\Local\Temp* C:\Users\BlackBOX\Desktop\Nowy folder\GeForce Experience.lnk cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > sekcja Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres feed.helperbar.com. Ustawienia > sekcja Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres feed.helperbar.com. W pasku adresów wklep chrome://extensions i ENTER. Odinstaluj Video Downloader professional (wątpliwe rozszerzenie, producent powiązany z aktywnościami adware). 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.