picasso

Nie nastąpił restart, gdyż komenda EmptyTemp: w ogóle się nie wykonała. Poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy skype.softonic.pl. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DCFB5BFE-1F58-4B1D-96A7-3C7BBAE51B36} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DCFB5BFE-1F58-4B1D-96A7-3C7BBAE51B36} DeleteKey: HKCU\Software\PRODUCTSETUP DisableService: ALG RemoveDirectory: C:\Documents and Settings\Admin\Dane aplikacji\RPEng RemoveDirectory: C:\Documents and Settings\Admin\Dane aplikacji\Sun RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Powstanie kolejny fixlog.txt. Pokaż go.

Czy wykonałeś poniższe zadanie i błąd COM Surrogate ustąpił? Fix FRST wykonany. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Brak oznak czynnej infekcji. Jedyne co tu sugeruje, iż infekcja była, to te autoryzacje w Zaporze systemu Windows: FirewallRules: [TCP Query User{42EDCBCC-0923-4B95-9224-BCD7AF9A5FF2}C:\temp\update manager.exe] => (Allow) C:\temp\update manager.exe FirewallRules: [uDP Query User{42553257-DC2B-4478-971F-ED1E1B86C74B}C:\temp\update manager.exe] => (Allow) C:\temp\update manager.exe Folder nadal widzę na dysku i będę sprawdzać co w nim jest. Tylko kosmetyczne działania do przeprowadzenia, czyli usunięcie wpisów pustych i czyszczenie Tempów: 1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR , Java 8 Update 45 (64-bit), Java 8 Update 45, MyFreeCodec (Samsunga). 2. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku Task: {36A37E29-380F-4500-A031-D1FD984D8162} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2949551511-373755211-1111318044-1000Core => C:\Users\BM\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {36B87246-4C68-42E8-A8F8-2BBC1778402A} - System32\Tasks\{2427C378-ACFA-482C-980A-C45639FF938D} => pcalua.exe -a C:\Users\BM\Downloads\googlemon(3).exe -d C:\Users\BM\Downloads Task: {3BB0515B-0D40-4DEF-B30C-3950F51E3670} - System32\Tasks\{D2DEBA73-4DDE-4B27-A5AE-D0CD4FCB13FE} => pcalua.exe -a C:\Users\BM\Downloads\irfanview_plugins_433_setup.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {402076D7-30B3-4036-B446-888B8AC648E0} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2949551511-373755211-1111318044-1000UA => C:\Users\BM\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {40FD1B00-D5DA-477A-B8A1-3D2C522C8F08} - System32\Tasks\{F02A48C8-95BA-4638-8442-3A514452DA07} => pcalua.exe -a C:\TEMP\GTAINSTALLER\SETUP.EXE -d C:\TEMP\GTAINSTALLER Task: {5538D342-15A1-45F5-9EE0-953D79052132} - System32\Tasks\{11F22A97-0946-4B63-8053-4C67FA6A3F68} => pcalua.exe -a "C:\Program Files (x86)\XFastUsb\Uninstall.exe" Task: {57EE4030-D9C5-44B8-A721-622AD663C4C3} - System32\Tasks\Paragon Archive name arc_030413000426092 => C:\Program Files (x86)\Paragon Software\Hard Disk Manager 12 Professional\program\scripts.exe Task: {6A654567-D747-4F86-B2BC-E6B92FCFF42E} - System32\Tasks\{D21F9D2B-A2EA-43E9-BEBA-71F8A3E3D51E} => pcalua.exe -a C:\Users\BM\Downloads\googlemon.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {9D860236-C50F-4264-BF00-FB5BE8567999} - System32\Tasks\Seagate_Install_Launch => C:\Program Files (x86)\Seagate\Seagate Dashboard 2.0\Dashboard.exe Task: {DA1FFED2-3F6C-47A1-83FC-854D51D899F0} - System32\Tasks\{809CE9AB-A60E-454E-A562-8A1D1ABE9F75} => pcalua.exe -a C:\Users\BM\Documents\dav2avimon-1.0\dav2avi\dhplayer.exe -d C:\Users\BM\Documents\dav2avimon-1.0\dav2avi Task: {EB253384-11D9-4157-B749-9C147F8BFD0F} - System32\Tasks\{B178E1C2-8559-4568-866E-4691DDD60A34} => pcalua.exe -a "C:\Users\BM\Downloads\Photodex ProShow Gold 5.0.3222\SetUp.exe" -d "C:\Users\BM\Downloads\Photodex ProShow Gold 5.0.3222" Task: {FD685241-F150-417E-9EE3-E4D05E6F18D9} - System32\Tasks\{A1626C9E-D588-4B84-ADD0-6EE42FAF1B4B} => pcalua.exe -a C:\Users\BM\Downloads\googlemon(1).exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: C:\Windows\Tasks\Paragon Archive name arc_030413000426092.job => C:\Program Files (x86)\Paragon Software\Hard Disk Manager 12 Professional\program\scripts.exe-Wno --alternate --graph --multiple C:/Program Files (x86)/Paragon Software/Hard Disk Manager 12 Professional/scripts/scr_030413000704947.psl C:\Program Files (x86)\mozilla firefox\plugins C:\Users\BM\AppData\Local\134e6589520e51682091c0.32666518 C:\Users\BM\AppData\Local\69ff07055291669bb2b218.72821112 Folder: C:\temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny. 4. Za to na wszelki wypadek dorzuć szukanie rejestru na w/w delikwenta. Uruchom FRST, w polu Szukaj wklej co niżej podane, klik w Szukaj w rejestrze i dostarcz wynikowy log. update manager.exe

Przenoszę temat do odpowiedniejszego działu Vista. W logu widzę tylko te dwa foldery, przypuszczalnie utworzone przez nowe próby z instalacją, więc je usń ręcznie: 2015-10-15 18:35 - 2015-10-15 19:25 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Testy Liwona kategoria B 2015-10-15 18:31 - 2015-10-15 19:11 - 00000000 ____D C:\Program Files\Testy Liwona kategoria B Komunikat "program już jest zainstalowany" prawdopodobnie produkują dane Instalatora Windows relatywne do tego programu. Skorzystaj z tego narzędzia Microsoftu: KLIK. Uruchom je w dwóch trybach: - Automatyczny: Zaakceptuj > Wykryj problemy i automatycznie zastosuj poprawki (zalecane) > zweryfikuj czy cokolwiek zostało naprawione. - Ręczny: Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy na liście widać pozycję tego programu > jeśli tak, zaznacz i Dalej. Jeśli nie, kończysz akcję. Widać aktywny w tle sterownik tStLibG pozostawiony po niedokładnym usuwaniu adware oraz bardzo stary Ad-aware działający wspólnie z Avastem. Te dwa czynniki mogą tworzyć niepożądany stan. Poza tym, jest notowany problem z Usługami kryptograficznymi Windows: UWAGA: => Nie wykonano weryfikacji podpisów cyfrowych plików. Usługa "Usługi kryptograficzne" nie jest uruchomiona. Ogólnie do przeprowadzenia następujące akcje: 1. Odinstaluj stare wersje: Ad-aware, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 8.1.0 - Polish, Bittorrent, Nowe Gadu-Gadu, OpenOffice.org 3.0. 2. Wyłącz zbędne wpisy ze startu. Uruchom Autoruns, w menu zaznacz pokazywanie wpisów Microsoftu, następnie odznacz następujące elementy: - W karcie Logon: APSDaemon, ehTray.exe, iTunesHelper, QuickTime Task, topi, Toshiba Registration, V0260Cfg.exe, Windows Defender, Windows Mobile-based device management, WMPNSCFG. - W karcie Services: UleadBurningHelper, WinDefend. 3. Pobierz DevCon. Pobrany plik Devcon.exe to archiwum, rozpakuj tak jak tradycyjny ZIP. Po rozpakowaniu z folderu i386 przekopiuj plik Devcon.exe do katalogu C:\Windows. W spoilerze doczyszczanie szczątków adware, wpisów pustych i zdefektowanych urządzeń ISATAP: 4. Napraw drobny błąd WMI wykonując działania z tego artykułu: KLIK. W skrócie: wklej do Notatnika skrypt MS, zapisz pod nazwą FIX.VBS, przenieść wprost na C:\, następnie Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę C:\FIX.VBS i ENTER. 5. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku opróżnij gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > z prawokliku opróżnij CodeIntegrity. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt ze spoilera. Wypowiedz się jak działa system, czy jest poprawa.

Temat przenoszę do odpowiedniejszego działu, na razie do Hardware *. Problemem nie jest infekcja, skan MBAM (odpadki po instalacji adware) nie ma związku z problemami. A logi FRST i GMER nie nadają się do diagnostyki dysku. Komunikaty wskazują na uszkodzenie tablicy partycji / systemu plików. I jedyne co z raportu FRST można podciągnąć pod sprawę, to w kółko mielone błędy złych bloków jakiegoś dysku - może to chodzi o ów zewnętrzny: Dziennik System: ============= Error: (10/19/2015 12:36:02 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk3\DR7 wystąpił zły blok. * Skoro to dysk z innego komputera i nastąpiła na nim niespodziewana utrata danych, to wypada zbadać kondycję sprzętową tego dysku. Dane wymagane działem Hardware: KLIK. Najwyraźniej raport z FRST był robiony, gdy dysk zewnętrzny nie był podpięty, gdyż FRST widzi tylko jeden dysk fizyczny, żadnego zewnętrznego tu nie widać: ==================== Dyski ================================ Drive c: () (Fixed) (Total:150.17 GB) (Free:97.11 GB) NTFS Drive d: () (Fixed) (Total:781.25 GB) (Free:733.45 GB) NTFS ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: F53373B5) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=150.2 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=781.2 GB) - (Type=07 NTFS) Uruchom Autoruns, w karcie Scheduled Tasks odznacz wszystkie zadania typu GWX*. Druga sprawa, proces zaszedł już dość daleko, bo Windows 10 jest pobrany na dysku i oczekuje na instalację: 2015-10-18 17:56 - 2015-10-18 17:56 - 00000000 ___HD C:\$Windows.~BT Bez znaczenia. Akcja nastąpiła podczas skanowania Skrótów - otwórz plik Shortcut.txt i zrób szukanie na frazę "Brak pliku", są puste skróty odnoszące się do nieistniejących mapowań dysków G: i I:. PS. W spoilerze drobnostki (wpisy puste / odpadkowe) do usunięcia. Akcja kosmetyczna, nie mająca żadnego związku z powyższymi zgłoszeniami.

Nie podałeś raportu MBAM, ale można wnioskować, że była usuwana jakaś drobnostka, np. plik "downloadera". I ten skan nie ma związku z tym: Temat przenoszę do działu Windows. Problemem nie jest infekcja. Raporty nie dostarczają żadnych konkretów. A dużo już ze startu wyłączone via Menedżer zadań Windows 8. Sugestie: 1. Odinstaluj sterownik SPTD za pomocą narzędzia SPTDinst: KLIK. Obecnie w raportach nie widać żadnego powiązanego programu, który go używa. 2. Odinstaluj nieużywane firmowe programy, co ograniczy ilość uruchamianych procesów, np. Norton Online Backup. Przy okazji pozbądź się też starych wersji Adobe AIR, Adobe Flash Player 10 Plugin, Java 7 Update 45. 3. Upewnij się, że problemu nie tworzą programy zabezpieczające Avast, Malwarebytes Anti-Malware. Zacznij od deinstalacji MBAM. Jeśli nie będzie zmian, w ten sam sposób sprawdź Avast. Jak wyżej. Brak danych, raporty nie mówią nic. A Twój opis conajmniej nie jasny, nie wiadomo na czym polega ta "niemożność uruchomienia". Czy próbowałeś reinstalować urządzenie na poziomie Menedżera urządzeń oraz sterowniki Atheros? ==================== Zainstalowane programy ====================== Qualcomm Atheros Bluetooth Suite (64) (HKLM\...\{A84A4FB1-D703-48DB-89E0-68B6499D2801}) (Version: 8.0.1.306 - Qualcomm Atheros Communications) Qualcomm Atheros Client Installation Program (HKLM-x32\...\{28006915-2739-4EBE-B5E8-49B25D32EB33}) (Version: 10.0 - Qualcomm Atheros) HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe [132736 2013-09-25] (Atheros Communications) R2 AtherosSvc; C:\Program Files (x86)\Bluetooth Suite\adminservice.exe [312448 2013-09-25] (Windows ® Win 7 DDK provider) [brak podpisu cyfrowego] R2 ZAtheros Bt and Wlan Coex Agent; C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [323584 2013-09-25] (Atheros) [brak podpisu cyfrowego] S3 BTATH_HID; C:\Windows\system32\DRIVERS\btath_hid.sys [223432 2013-09-25] (Qualcomm Atheros) S3 BTATH_LWFLT; C:\Windows\system32\DRIVERS\btath_lwflt.sys [77464 2013-09-25] (Qualcomm Atheros) PS. W spoilerze kosmetyka wpisów pustych. Akcja stricte podrzędna. Nie ma to żadnego związku z powyższymi problemami i nie pomoże ich rozwiązać.

Kolejna porcja poprawek: 1. Otwórz Notatnik i wklej w nim: AV: AVG Anti-Virus Free Edition 2012 (Enabled - Up to date) {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0} AS: AVG Anti-Virus Free Edition 2012 (Enabled - Up to date) {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D} FF Plugin-x32: @java.com/DTPlugin,version=10.13.2 -> C:\Windows\SysWOW64\npDeployJava1.dll [2013-02-07] (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_60\bin\new_plugin\npjp2.dll [brak pliku] Task: {1966FCD6-7E60-4534-98FA-34AF1191310E} - System32\Tasks\RealCreateProcessScheduledTask345657592S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {28A8672D-E69C-445A-A024-94FD71870832} - System32\Tasks\RealCreateProcessScheduledTask543795585S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {50332993-9FE8-4D23-AD53-AB7A208F5AC8} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {67162F5D-8FB1-44C5-8D96-E526B5039B58} - System32\Tasks\RealCreateProcessScheduledTask2041772098S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {6EC8E776-E5BC-4F8C-9599-DC9179116C69} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\recordingmanager.exe Task: {712F7D37-8CD6-40DD-89CA-CED1B2BA5048} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {75CA2A62-D899-4E3F-9D74-1D26D4BF3187} - System32\Tasks\RealCreateProcessScheduledTask230475533S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {7DFEF630-CD14-4C50-B2EC-D049E577032F} - System32\Tasks\RealCreateProcessScheduledTask699993022S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {89B54FFE-5596-4D6E-9915-CF7D82244BF4} - System32\Tasks\RealCreateProcessScheduledTask239627160S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {98510A6F-0008-4E28-9ACC-C0FF0C02D95E} - System32\Tasks\RealCreateProcessScheduledTask454964201S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {B5DBB04F-BF38-4D7D-945D-C90F94378B8B} - System32\Tasks\RealCreateProcessScheduledTask996322100S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {D055BD29-DC5A-4D43-9AAC-3C54BD7B173E} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {E9B84AA7-47A9-4CB1-A235-2D8827EBE1E8} - System32\Tasks\RealCreateProcessScheduledTask214125459S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {EE32974C-FA82-432A-8B69-B8833A99F716} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Google\Desktop\Install RemoveDirectory: C:\Program Files (x86)\Google\Desktop RemoveDirectory: C:\Program Files (x86)\Real RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\Real RemoveDirectory: C:\Users\Kamil\AppData\Local\Avg2015 RemoveDirectory: C:\Users\Kamil\AppData\Roaming\Real RemoveDirectory: C:\Users\Kamil\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Users\Kamil\Desktop\Stare dane programu Firefox CMD: del /q C:\aaw7boot.log CMD: del /q C:\Windows\SysWOW64\rp_stats.dat CMD: del /q C:\Windows\SysWOW64\rp_rules.dat Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Odbuduj usunięte przez ZeroAccess usługi Windows za pomocą ServicesRepair. Po akcji zresetuj system i zrób nowy log z Farbar Service Scanner.

Kończymy: 1. Był uruchamiany GMER. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. GMER dokasuj ręcznie.

Przetwarzam tematy, gdy jestem w stanie. Obecnie jestem znów jedyną osobą, która zajmuje się tym działem. Jeśli chodzi o ten drugi komputer: - Nie ma tu oznak czynnej infekcji, tylko szczątki w mapowaniu MountPoints2 oznajmiające, że kiedyś podpinano zainfekowane USB oraz instalacje adware (Ask Toolbar i Mobogenie). - Jest tu poważna usterka, czyli od dołu do góry usługi/sterowniki Windows oznaczone etykietą [brak podpisu cyfrowego]. To oznacza uszkodzenie bazy Usług kryptograficznych (catroot2 lub catroot). - ESET do deinstalacji niezależnie od tego czy ma cokolwiek wspólnego ze spowolnieniem. To koszmarnie stara wersja z 2008 i to jeszcze scrackowana! Fatamorgana z zabezpieczaniem, tak stary antywirus jest w ogóle nie odporny na bieżący infekcje. Poza tym, Dziennik zdarzeń jest upstrzony błędami tego typu: Dziennik System: ============= Error: (10/16/2015 10:01:02 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Eset Nod32 Boot z powodu następującego błędu: %%1053 Error: (10/16/2015 10:01:02 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Limit czasu (30000 milisekund) podczas oczekiwania na połączenie się z usługą Eset Nod32 Boot. Akcje do przeprowadzenia: 1. Był uruchamiany GMER. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny - w jego skład wchodzi reset bazy catroot2. 3. Deinstalacje / aktualizacje: ----> Przez Dodaj/Usuń programy odinstaluj adware, wszystkie stare wersje i nieszczęsnego cracka: Adobe Shockwave Player 11.5, Ask Toolbar, ESET NOD32 Antivirus, Gadu-Gadu 10, Gadu-Gadu 7.7, Java™ 6 Update 22, Java™ 6 Update 3, Java™ 6 Update 5, Mobogenie, NOD32 v3.0.642 FiX1.2 by TemDono (31 days remaining forever up, OpenOffice.org 3.3, Skaner on-line mks_vir. ----> Zainstaluj najnowszą wersję OpenOffice 4.1.1: KLIK. Zaktualizuj Mozilla Thunderbird 24.6.0 do najnowszej wersji 38.3.0: KLIK. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-1078081533-2139871995-725345543-1004\...\Run: [PhoneDaemon] => F:\Iphone\Pc_Suite\iPhonePCSuite\PhoneDaemon.exe HKU\S-1-5-21-1078081533-2139871995-725345543-1004\...\Run: [LightShot] => C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\Skillbrains\lightshot\Lightshot.exe HKU\S-1-5-21-1078081533-2139871995-725345543-1004\...\Policies\Explorer: [NoDriveAutoRun] 0xFFFFFFFF HKU\S-1-5-21-1078081533-2139871995-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1078081533-2139871995-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1078081533-2139871995-725345543-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.gazeta.pl/0,0.html SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = hxxp://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = BHO: Brak nazwy -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> Brak pliku Handler: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - Brak pliku S3 HPFXBULK; system32\drivers\hpfxbulk.sys [X] S3 HPFXFAX; system32\drivers\hpfxfax.sys [X] C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\updater.log C:\Program Files\GUM6F.tmp C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Mozilla /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset CMD: net user ASPNET /delete EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Opisz czy jest poprawa w działaniu.

Tak, system jest zainfekowany - figuruje tu szkodliwa usługa VSSS oraz wpis Load, są również odpadki adware. Dodatkowo, katastrofa w antywirusach, równolegle działają Avast i Panda. Podejrzewam też, że oba są zdefektowane na skutek działania punktowanej infekcji. Akcje wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\Piotrek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [103389504 2015-06-23] (Microsoft Corporation) [brak podpisu cyfrowego] S2 WdsManPro; C:\ProgramData\DWdsManProD\WdsManPro.exe [451720 2015-09-11] (DTools LIMITED) S3 HH10Help.sys; \??\C:\Windows\system32\drivers\HH10Help.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msmunrq.exe HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\Policies\Explorer: [] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\64fdhpj4.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\64fdhpj4.default\extensions\deskCutv2@gmail.com => nie znaleziono C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi C:\Program Files\MY2AMKE2.exe C:\Program Files\XX9T1TH1.exe C:\ProgramData\msijtfivn.exe C:\ProgramData\msmunrq.exe C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Piotrek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Piotrek\AppData\Roaming\sweet-page C:\Windows\SysWOW64\MSIHANDLE CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f" CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systeu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Infekcja wyłączyła Przywracanie systemu. Wejdź do konfiguracji Przywracania systemu i zaznacz Ochronę dla dysku C. Obrazki konfiguracji w przyklejonym: KLIK. 3. Przez Panel sterowania odinstaluj Adobe Reader XI (11.0.13) - Polish, Akamai NetSession Interface oraz antywirusy. Jeśli któryś z nich poprawnie działa, to zostaw ten konkretny. Jeśli oba nie działają, to oba. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Sufiks *.ccc oznacza, że odszyfrowanie danych jest awykonalne. To nowszy wariant TeslaCrypt z ulepszonym algorytmem i zabezpieczeniem uniemożliwiającym ten proceder poprzez zamknięcie pewnej "luki" wykorzystywanej przez TeslaDecoder (widzę pobrany na dysku). Jedyna opcja to szukać poprzednich wersji plików: 1. Program do odzyskiwania danych typu TestDisk. Ta metoda głównie nie działa przy bieżących infekcjach szyfrujących, ale zawsze można próbować. Przy czym, im dłużej działa komputer (non stop zapisy na dysku), tym mniejsze szanse na odzyskanie czegokolwiek. Tym gorzej, że tu nadal działa infekcja w tle, co poświadczają raporty FRST i GMER, i trzeba ją usunąć w pierwszej kolejności. To już będzie kolejny "zapis na dysku". 2. Szukanie kopii w Przywracaniu systemu raczej odpada. Po pierwsze: TeslaCrypt kasuje wszystkie punkty Przywracania systemu. Po drugie: Przywracanie systemu tu nawet nie działa poprawnie, czyli z wielkim prawdopodobieństwem żadnego nagrywania punktów nawet nie było: ==================== Punkty Przywracania systemu ========================= Sprawdź usługę "winmgmt" lub napraw WMI. Dziennik Aplikacja: ================== Error: (10/19/2015 06:18:54 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury CoCreateInstance. hr = 0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Operacja: Tworzenie wystąpienia serwera VSS Nie jestem w stanie nic zrobić z zaszyfrowanymi danymi. Jedyne co jest w mojej mocy, to usunięcie aktywnej infekcji oraz dodanych przez infekcję plików HOWTO_RESTORE_FILES_*. Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer\Run: [261815374] => C:\ProgramData\msdued.exe [114176 2009-07-14] () HKLM\...\Policies\Explorer\Run: [960596286] => C:\ProgramData\msnthxwd.exe [114176 2009-07-14] () HKLM\...\Policies\Explorer\Run: [116841540] => C:\ProgramData\msonz.exe [114176 2009-07-14] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM-x32\...\Run: [etcfg] => C HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-3238202015-1634771323-3529322922-1000\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-3238202015-1634771323-3529322922-1000\...\Policies\Explorer: [HideSCAHealth] 1 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3238202015-1634771323-3529322922-1000 -> DefaultScope {FB07620C-4FCE-4C8C-A9FE-F224434C436D} URL = SearchScopes: HKU\S-1-5-21-3238202015-1634771323-3529322922-1000 -> {FB07620C-4FCE-4C8C-A9FE-F224434C436D} URL = Task: {0E752D0C-6347-460C-BF30-E51C4D5A8978} - System32\Tasks\{3ADFF182-FA32-4186-9019-86E32362B8E9} => pcalua.exe -a "E:\Pełne wersje\ArcaVir 2013 Antivirus\ArcaSetup2013-PL-32bit.exe" -d "E:\Pełne wersje\ArcaVir 2013 Antivirus" Task: {1AA441E0-9E67-4EFB-B654-6B29246AA747} - System32\Tasks\{BCA36E23-3AC7-4452-983C-159459CDAF58} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe Task: {4D358F92-8224-459F-B211-305D75E0C203} - System32\Tasks\{EB9D1A24-9B69-4EF9-9DCC-834F468B5B7C} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe Task: {7A530317-2DD2-4B9B-80EC-EAB4A2029CBB} - System32\Tasks\{53170ECA-8E78-48E0-BDC1-9CBC8DCD3CDD} => C:\Program Files (x86)\Kolekcja Klasyki\The Bard's Tale\splash.exe Task: {840BE216-9334-4DF0-BDF4-6C5A6B29DA3D} - System32\Tasks\{D514E643-CCF3-4ADA-8889-0D67D8DA0D9B} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe Task: {8FB702A2-6A21-4D2D-A5D2-A420A3EA889E} - System32\Tasks\{94A61A7D-5A82-42DD-8413-B45A98D3FB61} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe Task: {B4C161C6-9521-4C60-AFBF-2EE20D145A72} - System32\Tasks\{8B04FD41-D22E-4622-924E-E5CA855DB73C} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe Task: {C2228432-D675-4E4B-9BB8-A1110FAC6A1A} - System32\Tasks\{C3956E19-23F6-402D-885B-D536FFBAD1D6} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe AV: ArcaVir (Enabled - Out of date) {632ED295-5EE3-505D-F3D3-32EAED41EB7A} AS: ArcaVir (Enabled - Out of date) {D84F3371-78D9-5FD3-C963-099896C6A1C7} C:\ProgramData\*.exe C:\Users\JS\daemonprocess.txt.ccc C:\Users\JS\AppData\Roaming\*.exe C:\Users\JS\Documents\recover_file_iymhonqer.txt RemoveDirectory: C:\ProgramData\ArcaBit RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\JS\AppData\Local\cache RemoveDirectory: C:\Users\JS\AppData\Local\genienext RemoveDirectory: C:\Users\JS\AppData\Local\Mobogenie RemoveDirectory: C:\Users\JS\AppData\Roaming\newnext.me RemoveDirectory: C:\Users\JS\Documents\Mobogenie CMD: netsh advfirewall reset CMD: attrib -h -s C:\HOWTO_RESTORE_FILES_* /s CMD: attrib -h -s D:\HOWTO_RESTORE_FILES_* /s CMD: attrib -h -s F:\HOWTO_RESTORE_FILES_* /s CMD: del /q /s C:\HOWTO_RESTORE_FILES_* CMD: del /q /s D:\HOWTO_RESTORE_FILES_* CMD: del /q /s F:\HOWTO_RESTORE_FILES_* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, GMER oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Plik fixlog.txt może być ogromny, ze względu na rekursywne usuwanie wszystkich plików HOWTO_RESTORE_FILES_* z wszystkich dysków. Gdyby się nie zmieścił, to shostuj go gdzieś i podlinkuj.

1. AdwCleaner dopatrzył się jeszcze rozmaitych szczątków adware. Uruchom go ponownie i zastosuj sekwencję opcji Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Usuń ręcznie pobrane skanery i ich logi z folderu C:\logi. Następnie popraw narzędziem DelFix. To tyle.

1. Drobne poprawki. Otwórz Notatnik i wklej w nim: Toolbar: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" C:\Program Files (x86)\Opera C:\Users\Admin\AppData\Local\Opera Software C:\Users\Admin\AppData\Roaming\Opera Software Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Zainstaluj najnowszą wersję Google Chrome. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

System jest zainfekowany - dużo aktywnych obiektów startowych, na dodatek są tu też liczne odpadki po niepoprawnie usuniętej w przeszłości infekcji ZeroAccess oraz ślady wskazujące, że uszkodzone przez ZA usługi nie zostały naprawione w pełni. Prócz tego są też odpadki po adware. O zgrozo, działają równolegle dwa antywirusy, w tym jeden strasznie stary. Ogólnie: dużo do roboty. Akcje do wdrożenia: 1. Odinstaluj stare programy oraz oba antywirusy: Ad-Aware Antivirus, Adobe AIR, Adobe Flash Player 11 ActiveX 64-bit, Adobe Flash Player 17 NPAPI, Adobe Reader XI (11.0.13) - Polish, AVG 2012, Java 7 Update 13, Java™ 6 Update 29, JavaFX 2.1.1, RealPlayer. Następnie jeszcze dla pewności wejdź w Tryb awaryjny i zastosuj AVG Remover. Po użyciu go opuść tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hksynhd.lnk [2015-10-17] Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\maker.lnk [2015-09-01] Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqlservr.vbs [2015-09-26] () Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\webaddon.lnk [2015-09-13] Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webhttp.lnk [2015-09-29] HKU\S-1-5-21-941783235-1361993633-579621791-1000\...\Run: [sqlservr] => wscript.exe //B "C:\Users\Kamil\AppData\Roaming\sqlservr.vbs" HKLM\...\Run: [sqlservr] => wscript.exe //B "C:\Users\Kamil\AppData\Roaming\sqlservr.vbs" HKLM\...\Run: [] => [X] BootExecute: autocheck autochk * bddel.exe Winsock: Catalog5 01 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 05 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" ShellIconOverlayIdentifiers: [1MediaIconsOverlay] -> {1EC23CFF-4C58-458f-924C-8519AEF61B32} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1383056942&from=cor&uid=WDCXWD3200AAKS-22B3A0_WD-WCAT1258761487614 Task: {672E0A93-8BF7-4AD8-9C5E-894B60046657} - System32\Tasks\Ad-Aware Update (Weekly) => D:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {894D80E5-831F-44F9-AC97-8E01CBD6A4AA} - System32\Tasks\{471D4949-ED62-45FC-B754-49C01F3A8917} => pcalua.exe -a "D:\Program Files (x86)\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=10 Task: {AFF9D0A6-CB76-4A37-8420-2FFCD5AC1299} - System32\Tasks\{3E118610-D306-4B7B-9F61-99148660BEC2} => pcalua.exe -a "D:\Program Files (x86)\mflpro_c1\Data\Disk1\setup.exe" -d "D:\Program Files (x86)\mflpro_c1\Data\Disk1" S2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{c9569680-9a07-5c7d-6fad-9f64d8d19ca2}\ \...\‮ﯹ๛\{c9569680-9a07-5c7d-6fad-9f64d8d19ca2}\GoogleUpdate.exe" R2 vToolbarUpdater13.2.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [711112 2012-11-10] () S3 Trufos; C:\Windows\System32\DRIVERS\Trufos.sys [452040 2015-01-22] (BitDefender S.R.L.) U4 Amon; Brak ImagePath U4 Apvxd; Brak ImagePath U4 Apvxdw in; Brak ImagePath U4 Apvxdwin; Brak ImagePath U4 Atrack; Brak ImagePath U4 AvconsoleE XE; Brak ImagePath U4 avgcc3 2; Brak ImagePath U4 avgcc32; Brak ImagePath S4 AVGIDSFilter; system32\DRIVERS\avgidsfiltera.sys [X] U4 avgser v9; Brak ImagePath U4 avgserv9; Brak ImagePath U4 AVG_CC; Brak ImagePath U4 AVPCC; Brak ImagePath U4 AVPCC Service; Brak ImagePath U4 BlackI ce Utility; Brak ImagePath U4 BlackIce Utility; Brak ImagePath U4 CcApp; Brak ImagePath U4 CcRegVfy; Brak ImagePath U4 ConfigSafe; Brak ImagePath U4 CPD_EX E; Brak ImagePath U4 CPD_EXE; Brak ImagePath U4 Defwat ch; Brak ImagePath U4 Defwatch; Brak ImagePath U4 dvpapi 9x; Brak ImagePath U4 dvpapi9x; Brak ImagePath U4 F-StopW; Brak ImagePath U4 Fix-it; Brak ImagePath U4 Fix-it AV; Brak ImagePath U4 Freedo m; Brak ImagePath U4 Freedom; Brak ImagePath U4 iamapp; Brak ImagePath U4 Look 'n' Stop; Brak ImagePath U4 McAfee Firewall; Brak ImagePath U4 McAfee Winguage; Brak ImagePath U4 McAfee.Ins tantUpdate.Monitor; Brak ImagePath U4 McAfee.Instant Update.Monitor; Brak ImagePath U4 McAfeeViru sScanService; Brak ImagePath U4 McAfeeVirusSca nService; Brak ImagePath U4 NAV Agent; Brak ImagePath U4 NAV Configuration Wizard; Brak ImagePath U4 NAV DefAlert; Brak ImagePath U4 Nod32C C; Brak ImagePath U4 Nod32CC; Brak ImagePath U4 NOD32P OP3; Brak ImagePath U4 NOD32POP3; Brak ImagePath U4 Norton Auto-Protect; Brak ImagePath U4 Norton eMail Protect; Brak ImagePath U4 Norton Navigaton Loader; Brak ImagePath U4 Norton Program Event Checker; Brak ImagePath U4 Norton Program Scheduler; Brak ImagePath U4 NPS Event Checker; Brak ImagePath U4 Panda Scheduler; Brak ImagePath U4 ScanInicio; Brak ImagePath U4 SharedAcce ss; Brak ImagePath U4 SymTra y - Norton SystemWorks; Brak ImagePath U4 SymTray - Norton SystemWorks; Brak ImagePath U4 Tiny Personal Firewall; Brak ImagePath U4 TrueVector; Brak ImagePath U4 VirusS can Online; Brak ImagePath U4 VirusScan Online; Brak ImagePath U4 ZoneAl arm; Brak ImagePath U4 ZoneAlarm; Brak ImagePath C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive\ArmA 2 Free C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ivo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overgrowth C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Passware C:\Users\Kamil\AppData\Local\jv16PT_temp.tmp C:\Users\Kamil\AppData\Local\Temphkcmd.exe C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Kamil\AppData\Local\Microsoft\Windows\GameExplorer\{2099566C-54E2-4293-9BF6-051E702EA662} C:\Users\Kamil\AppData\Roaming\*.exe C:\Users\Kamil\AppData\Roaming\7e381c24.dat C:\Users\Kamil\AppData\Roaming\sqlservr.vbs C:\Users\Kamil\Desktop\Mount & Blade Uniloader Serial Crack — skrót.lnk C:\Users\Kamil\Desktop\punisher — skrót.lnk C:\Windows\pss\ARCHIVER.lnk.Startup C:\Windows\pss\Start.lnk.Startup C:\Windows\System32\DRIVERS\Trufos.sys RemoveDirectory: C:\Program Files (x86)\Google\Desktop RemoveDirectory: C:\Users\Kamil\AppData\Local\Google\Desktop File: C:\Windows\SysWOW64\ntshrui.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ARCHIVER.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Start.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeCS5.5ServiceManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_TRAY" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR11" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj AVG Do Not Track, o ile nadal będzie po w/w deinstalacjach Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowe logi: FRST z opcji Skanuj (Scan) (zaznacz ponownie pole Addition, by powstały dwa logi), Farbar Service Scanner i zaległy GMER. Dołącz też plik fixlog.txt.

Plik resources.bak (nie resource.bak) był wcześniej, gdyż mam to w paczce którą mi wysłałeś. Czy na pewno szukałeś w odpowiednim folderze i masz włączone pokazywanie rozszerzeń plików? Skoro teraz go nie ma, to może adware usunęło. Oczywiście resources.pak nie może być skasowany bez podstawienia jego wcześniejszej czystej wersji! To jest plik zasobów niezbędny do obsługi Google Chrome i przeglądarka w ogóle bez niego nie działa. Mogłabym przesłać Ci kopię którą mi wysłałeś, ale jest już nowsza wersja przeglądarki i w tej sytuacji lepiej wszystko przeładować od zera: 1. Zakładam, że synchronizację wyłączyłeś wcześniej. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj nowej wersji. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Wszystko pomyślnie przetworzone. Teraz jeszcze na wszelki wypadek na koncie Anka uruchom AdwCleaner. Wybierz tylko opcję Skanuj i zaprezentuj wynikowy log z folderu C:\AdwCleaner.

Infekcja z systemu pomyślnie usunięta. Natomiast pendrive w ogóle nie był podpięty podczas Fixa FRST (czyli FRST nic z niego nie kasował), a log z USBFix dobrany tu tylko pod pendrive nawet nie pokazuje podpiętego urządzenia. W związku z tym doczyścisz sobie pendrive ręcznie, np. formatując go. Mini poprawki. Otwórz notatnik i wklej w nim: S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] Folder: C:\Program Files (x86)\WEB Partner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

Skrypt FRST nie wykonał kasowania kluczy wskazanych przez AdwCleaner. Pomyliłam się zapominając, że głupiutki AdwCleaner nie drukuje poprawnie ścieżek na systemach 64-bit - te 32-bitowe wyglądają jak 64-bitowe i trzeba je przetwarzać na 32-bitowe ręcznie. Poprawka, o ile już nie robiłeś usuwania w AdwCleaner: Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{02AFA80F-4BEE-41FD-8572-214B58A9EF90} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{363F46BE-27B4-4C8D-99E7-B1E049B84376} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{90A9B7D2-3794-45EA-9E23-140E3938D2D9} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{A753A1EC-973E-4718-AF8E-A3F554D45C44} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

Wykonałam dokładną analizę Twoich folderów Google i wykryłam w czym był problem. Jedno z poprawnych rozszerzeń, notabene Adblock Plus (sic!): CHR Extension: (Adblock Plus) - C:\Users\Krzysztof\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-06-14] .... miało przekierowany przez malware adres aktualizacji z Chrome Web Store (clients2.google.com) na adres szkodnika (epicunitscan.info) w pliku: C:\Users\Krzysztof\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb\1.8.3_0\manifest.json: { (...) }, "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCxGWIIBRUVzQIXITqE6+js1FA24fsZC58G0fxcO1Duwfps+9gip5tedTziErKEpeAQVkgasdT4kk+b6Lw27yp3oysAj6zD9j+j4W+EMArTXqMIc6SMYD7Z8bPcwPb3tC1MUxMSpO6oOVpFE23UhKe91SYnrK92nHI2cmsor5elXQIDAQAB", "manifest_version": 2, "minimum_chrome_version": "28.0", "name": "__MSG_name__", "options_page": "options.html", "permissions": [ "tabs", "http://*/*", "https://*/*", "contextMenus", "webRequest", "webRequestBlocking", "webNavigation", "unlimitedStorage", "notifications" ], "update_url": "https://epicunitscan.info/00service/update2/crx", "version": "1.8.3", "web_accessible_resources": [ "block.html" ] } Ta modyfikacja była możliwa i aktywna, gdyż malware posługujące się tym trikiem modyfikuje globalne pliki Google Chrome chrome.dll + chrome_child.dll. Zrobiliśmy pełną reinstalację Google Chrome, więc wszystkie modyfikacje ubite za jednym zamachem. Drobne poprawki do wdrożenia. Otwórz Notatnik i wklej w nim: BHO: Brak nazwy -> {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} -> => Brak pliku R4 mbamchameleon; \??\C:\Windows\system32\drivers\mbamchameleon.sys [X] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\found.001 RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

Jest zainfekowany globalny plik zasobów resources.pak, czyli adware jest obecnie trwale zintegrowane z przeglądarką. W folderze Google korespondującym do bieżącej wersji Chrome są dwie instancje plików zasobów, plik *.bak wygląda na kopię zapasową poprawnego pliku zrobioną przez adware: C:\Program Files (x86)\Google\Chrome\Application\45.0.2454.101\resources.bak [16 349 KB 2015.09.24] C:\Program Files (x86)\Google\Chrome\Application\45.0.2454.101\resources.pak [16 355 KB 2015.10.10] [to samo występuje w folderze starej wersji: 45.0.2454.99] Te pliki odróżnia obecność następującego skryptu: resources.pak <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://filterresults-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return[ ".*volunteercentre.org.*",".*search.yahoo.com.*_bd_com.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*",".*fluey.com.*",".*home.searchpile.com.*",".*au.ask.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*capn=ed_ui_.*_kw_004.*",".*search.top-arama.com.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV8BBw0XRA0XbQoJVFtcFVBFdxQABAFBDFNGdgABUloQRwYRch9aFQQTQkcFME0FA1UWQhNNfX9RDU0UU2dGM0xUFUo=&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV8BBw0XRA0XbQoJVFtcFVBFdxQABAFBDFNGdgABUloQRwYRch9aFQQTQkcFME0FA1UWQhNNfX9RDU0UU2dGM0xUFUo=&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://filterresults-a.akamaihd.net/FilterResults/cr?t=BLGC&g=f9f4fe84-315b-4ef7-8e80-fe6993caf322&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFMaJg1eBAFFDAYSdVsVVVwXFhgbJQEITF8UFwwac1pZBwpDExNBNARaAktXUUEeIlVfAh8fHHNKLE1dE2sUUkBPNEo="}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFeV8MB1xJFRgQcQxaTA0URwIOeFwAURQXRAMaeQpbAF9CEwcFIk0FA1oDB0VXfVtUBlpXTwhlKVVMBEsjREZWLE1L"});k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFMaJg1eBAFFDAYSdVsVVVwXFhgbJQEITF8UFwwac1pZBwpDExNBNARaAktXUUEeIlVfAh8fHHNKLE1dE2sUUkBPNEo="}),k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved. // resources.bak <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> // Copyright 2013 The Chromium Authors. All rights reserved. // W sytuacji bezpośredniej integracji adware z zasobami jest konieczna reinstalacja Google Chrome. Aczkolwiek jest plik BAK, który zdaje się być poprawny. Przeprowadź test, czy da się to rozwiązać przez zwykłą podmianę pliku: 1. Zamknij Google Chrome. Wejdź do folderu C:\Program Files (x86)\Google\Chrome\Application. Upewnij się jaka jest najwyższa wersja, czy nadal jest to 45.0.2454.101, bo w międzyczasie Chrome mogło się zaktualizować już do 46.0.2490.71. W folderze najwyższej wersji skasuj plik resources.pak, a plikowi resouces.bak zmień nazwę na resouces.pak. Foldery starszych wersji w całości przez SHIFT+DEL (omija Kosz) skasuj. 2. Uruchom przeglądarkę, zresetuj jej ustawienia ponownie i powiedz czy reklamy nadal występują.

Skoro problem wraca mimo usunięcia polityk, to tu chyba jest zmodyfikowany któryś plik Google Chrome. Dostarcz mi dane do ręcznej analizy. Skopiuj na Pulpit poniższe foldery, spakuj do ZIP, shostuj gdzieś i podlinkuj paczkę. C:\Program Files (x86)\Google\Chrome C:\Users\Admin\AppData\Local\Google

Widzę w raporcie polityki blokujące jakieś funkcje w Google Chrome. Przy okazji: Opera też jest zainfekowana. Akcje wstępne: 1. Odinstaluj stare wersje: Adobe Reader X (10.1.16) MUI , Adobe Shockwave Player 11.5, Java 8 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Windows\system32\GroupPolicy\Machine\registry.pol GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR RestoreOnStartup: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFeV8MB1xJFRgQcQxaTA0URwIOeFwAURQXRAMaeQpbAF9CEwcFIk0FA1oDB0VXfV5bFElXTwhlKVVMBEsjREZWLE1L" OPR Session Restore: -> [funkcja włączona] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4026836190-3788267660-437267313-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-4026836190-3788267660-437267313-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> OldSearch URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO: Brak nazwy -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> Brak pliku BHO-x32: Brak nazwy -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [brak pliku] C:\ProgramData\AVAST Software C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Admin\Downloads\*_www.INSTALKI.pl.exe C:\Users\Admin\Downloads\Niepotwierdzony*.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Opera: Menu > Ustawienia > Otwórz wybraną stronę lub zestaw stron > wymaż searchinterneat-a.akamaihd.net 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Fix wykonany pomyślnie. Skan MBAM już był wcześniej prowadzony. Myślę, że możemy finalizować temat: Klasyczna operacja końcowa z użyciem DelFix i czyszczeniem folderów Przywracania systemu: KLIK.

DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Do usunięcia tylko rekordy Cookie, reszta do zignorowania. I wygląda na to, że kończymy zmagania: 1. Usuń z Pulpitu folder FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Wykonaj pełną aktualizację Windows, czyli: SP1, IE11 i reszta łat. 3. Na koniec zainstaluj wybrany program antywirusowy. Za darmo może być np. Avast.