picasso

Jest tu wiele problemów w systemie: - Problem z urządzeniami przenośnymi generuje aktywna infekcja w systemie - w starcie figuruje szkodliwy wpis ysmut. - Są tu ślady szyfrowania danych - na dysku widać kilka wystąpień plików o rozszerzeniu xtbl. Podobny temat na forum: KLIK. - Adware/PUP: Obecnie w systemie działa niepożądany program Smart File Advisor, który wszedł z instalacją Alcohol. Jest to instalacja wiązana, tzn. podczas instalacji nie można tego odznaczyć, a przy deinstalacji jest usuwany też Alcohol. Na przyszłość: Alcohol instaluj przy niepołączonej sieci, co uniemożliwi instalację tego śmiecia. Są również widoczne różne odpadki po uprzednio niepoprawnie usuniętych instalacjach adware. - Fatalny stan zabezpieczeń, nieaktualizowany Windows (brak SP1 i reszty). Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje i zbędne programy: Adobe Flash Player 10 ActiveX, HP Deskjet 2510 series — badanie mające na celu poprawę produktów, Secure Download Manager, Smart File Advisor (to usunie też Alcohol), Surfing Protection. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis adware globalupdate Helper > Dalej. 2. Zakładam, że pendrivy są podpięte i widoczne pod tymi samymi literami G:, I:. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1767114643-583189397-3206445415-1001\...\Run: [ysmut] => C:\Users\Rafal\ysmut.exe [52736 2015-10-16] () Task: {17AD6DBF-CBFE-4206-B739-032140961514} - System32\Tasks\ASUS\TurboVHelp => C:\Program Files (x86)\ASUS\TurboV EVO\TurboVHELP.exe Task: {407EA084-6798-4D7D-B7FF-6B8F7338ED4D} - \WordWizard Auto Updater 1.10.0.24 Pending Update -> Brak pliku Task: {43496024-FBCD-49CA-B749-884808E3200D} - System32\Tasks\PGAWM1 => C:\ProgramData\SecurityUtility\SecurityUtility.exe Task: {58B4B69F-D3BE-4A48-A349-776AE50347EC} - System32\Tasks\LNuM2lmNYNesJmfGfMYeN2gbX => C:\Users\Rafal\AppData\Roaming\LNuM2lmNYNesJmfGfMYeN2gbX.exe Task: {660DCA87-95A0-44FD-99EE-14F11BC24737} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Rafal) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: {6BD6B03A-304B-4822-8BC2-608EB946A17D} - \WordWizard Auto Updater 1.10.0.24 Core -> Brak pliku Task: {8267B600-C231-4CAA-82D1-C4E0171B7272} - \SmartWeb Upgrade Trigger Task -> Brak pliku Task: {B9FD1F99-E20E-4BEF-A165-C2B15900A3DB} - System32\Tasks\8yQR6QyEJVC21JTh1fRU => C:\Users\Rafal\AppData\Roaming\8yQR6QyEJVC21JTh1fRU.exe Task: {BD10B211-8F8A-4A5E-AD9B-9FAE3757333C} - System32\Tasks\Uninstaller_SkipUac_Rafal => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: C:\Windows\Tasks\8yQR6QyEJVC21JTh1fRU.job => C:\Users\Rafal\AppData\Roaming\8yQR6QyEJVC21JTh1fRU.exe Task: C:\Windows\Tasks\LNuM2lmNYNesJmfGfMYeN2gbX.job => C:\Users\Rafal\AppData\Roaming\LNuM2lmNYNesJmfGfMYeN2gbX.exe Task: C:\Windows\Tasks\PGAWM1.job => C:\ProgramData\SecurityUtility\SecurityUtility.exe Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - Rafal).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16056 2015-08-25] (SlimWare Utilities, Inc.) S3 dump_wmimmc; \??\D:\Gry\GameforgeLive\Games\POL_pol\Metin2\GameGuard\dump_wmimmc.sys [X] GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => Brak pliku AlternateDataStreams: C:\ProgramData:gs5sys AlternateDataStreams: C:\Users\All Users:gs5sys AlternateDataStreams: C:\Users\Rafal:gs5sys AlternateDataStreams: C:\ProgramData\Application Data:gs5sys AlternateDataStreams: C:\ProgramData\Dane aplikacji:gs5sys AlternateDataStreams: C:\ProgramData\TEMP:E965A533 AlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys AlternateDataStreams: C:\Users\Rafal\Cookies:gs5sys AlternateDataStreams: C:\Users\Rafal\Dane aplikacji:gs5sys AlternateDataStreams: C:\Users\Rafal\Szablony:gs5sys AlternateDataStreams: C:\Users\Rafal\Ustawienia lokalne:gs5sys AlternateDataStreams: C:\Users\Rafal\Desktop\desktop.ini:gs5sys AlternateDataStreams: C:\Users\Rafal\AppData\Local:gs5sys AlternateDataStreams: C:\Users\Rafal\AppData\Roaming:gs5sys AlternateDataStreams: C:\Users\Rafal\AppData\Local\Dane aplikacji:gs5sys AlternateDataStreams: C:\Users\Rafal\AppData\Local\Historia:gs5sys AlternateDataStreams: C:\Users\Rafal\Documents\desktop.ini:gs5sys C:\Program Files (x86)\*.exe C:\Program Files (x86)\Opera C:\Program Files (x86)\predm C:\Program Files (x86)\AMD APP\htpatch.exe C:\Program Files (x86)\AMD APP\lucoms.exe C:\Program Files (x86)\AMD AVT\bin\agent.exe C:\Program Files (x86)\AMD AVT\bin\file.exe C:\Program Files (x86)\AMD APP\bin\pdvddxsrv.exe C:\Program Files (x86)\AMD AVT\bin\unpack.exe C:\Program Files (x86)\AMD APP\bin\x86_64\file.exe C:\Program Files (x86)\AMD APP\bin\x86_64\jucheck.exe C:\Program Files (x86)\AMD APP\bin\x86_64\lucoms.exe C:\Program Files (x86)\AMD APP\bin\x86_64\nvxdsync.exe C:\Program Files (x86)\AMD APP\bin\x86_64\run.exe C:\Program Files (x86)\AMD APP\bin\x86_64\winlogon.exe C:\Program Files (x86)\AMD APP\bin\x86_64\wisptis.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\jucheck.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\launch.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\lucoms.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\winlogon.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\wisptis.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\avguard.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\hkcr.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\jucheck.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\unpack.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\setup.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\winlogon.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\unpack.exe C:\Program Files (x86)\ASUS\IO\download.exe C:\Program Files (x86)\Google\Update\1.3.28.15\jucheck.exe C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\file.exe C:\Program Files (x86)\IObit\Advanced SystemCare 8\launch.exe C:\Program Files (x86)\IObit\Driver Booster\convert.exe C:\Program Files (x86)\IObit\Driver Booster\hkcr.exe C:\Program Files (x86)\IObit\Driver Booster\iexplore.exe C:\Program Files (x86)\IObit\Driver Booster\jucheck.exe C:\Program Files (x86)\IObit\Driver Booster\wisptis.exe C:\Program Files (x86)\IObit\Driver Booster\unpack.exe C:\Program Files (x86)\IObit\IObit Uninstaller C:\Program Files (x86)\Java\jre1.8.0_60\bin\jucheck.exe C:\Program Files (x86)\Java\jre1.8.0_60\bin\lucoms.exe C:\Program Files (x86)\Common Files\Java\Java Update\convert.exe C:\Program Files (x86)\Common Files\Java\Java Update\iexplore.exe C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe C:\Program Files (x86)\Common Files\Java\Java Update\winlogon.exe C:\Program Files (x86)\Common Files\Java\Java Update\wisptis.exe C:\Program Files (x86)\Common Files\microsoft shared\DW\klwtblfs.exe C:\Program Files (x86)\Common Files\microsoft shared\OFFICE11\zcfgsvc.exe C:\Program Files (x86)\Common Files\System\MSMAPI\1033\jucheck.exe C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} C:\ProgramData\Application Hosting C:\ProgramData\TEMP C:\ProgramData\update C:\ProgramData\Windows C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\pQube C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\Users\Rafal\*.exe C:\Users\Rafal\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Rafal\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Rafal\AppData\Local\file__0.localstorage C:\Users\Rafal\AppData\Local\Amvworks C:\Users\Rafal\AppData\Local\globalUpdate C:\Users\Rafal\AppData\Roaming\404C9F2C404C9F2C.bmp C:\Users\Rafal\AppData\Roaming\8yQR6QyEJVC21JTh1fRU C:\Users\Rafal\AppData\Roaming\data13.dat C:\Users\Rafal\AppData\Roaming\LNuM2lmNYNesJmfGfMYeN2gbX C:\Users\Rafal\AppData\Roaming\ssleas.exe C:\Users\Rafal\AppData\Roaming\Thumbs.db C:\Users\Rafal\AppData\Roaming\cpuminer C:\Users\Rafal\Desktop\PROGRAMY\IObit Uninstaller.lnk C:\Windows\convert.exe C:\Windows\hkcr.exe C:\Windows\launch.exe C:\Windows\lucoms.exe C:\Windows\winlogon.exe C:\Windows\wisptis.exe C:\Windows\system32\Drivers\3AED24A4.sys C:\Windows\system32\Drivers\44AA5DF5.sys C:\Windows\system32\Drivers\7DE86B1D.sys C:\Windows\System32\Drivers\SWDUMon.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 G:\*.exe G:\*.lnk G:\*.scr G:\autorun.inf I:\*.exe I:\*.lnk I:\*.scr I:\autorun.inf RemoveDirectory: G:\RECYCLER Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\*.xtbl /s CMD: del /q /s C:\*.xtbl EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres www.mystartsearch.com, przestaw na "Otwórz stronę nowej karty" Ustaw wybraną przeglądarkę jako domyślną. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan) (zaznacz ponownie pole Addition, by powstały dwa logi) oraz USBFix z opcji Listing przy podpiętych obu pendrivach. Dołącz też plik fixlog.txt. Plik ten może być ogromny, gdyż została załączona komenda rekursywnego usuwania plików *.xtlb z całego dysku. W razie gdyby się nie zmieścił, spakuj do ZIp i shostuj gdzieś podając link.

Fix FRST pomyślnie wykonany. Zastosuj narzędzie DelFix. To tyle.

Fix FRST wykonany i jak przewidywałam, infekcje nie są tu problemem. + Pytaniem jest co się pokazuje, gdy próbujesz wybrać tryb normalny: pętla powrotu do menu startowych, BSOD (jaki?), inne (jakie?)?

Sądzę, że to dokładnie to co było usuwane za pomocą FRST i jest tu referencja do procesu rundll32. Zresztą w GMER też widać było niepokojące instancje tego procesu systemowego. Tak mi się właśnie wydawało na podstawie raportu. Log FRST pokazywał, że w bliskim przedziale czasowym był instalowany EPLAN, a po tym powstały obiekty infekcji (w domyślne: w przerwie "kombinowałeś"). Oczywiście definitywnie crack usuń, o ile nadal jest na dysku. 2015-10-06 22:05 - 2015-10-14 15:01 - 00000308 _____ C:\Windows\Tasks\AQIT.job 2015-10-06 22:05 - 2015-10-06 22:05 - 00229376 __RSH C:\Windows\SysWOW64\MFC71CHTQ.dll 2015-10-06 22:05 - 2015-10-06 22:05 - 00002588 _____ C:\Windows\System32\Tasks\AQIT 2015-10-06 21:30 - 2015-10-06 21:30 - 00002087 _____ C:\Users\Public\Desktop\EPLAN Education 2.4 (x64).lnk 2015-10-06 21:30 - 2015-10-06 21:30 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EPLAN Zadanie usuwające pomyślnie wykonane. Zostały inne korekty. Log z Farbar Service Scanner wykazuje, że są wyłączone dwie usługi Windows (Centrum zabepieczeń + Windows Defender) oraz została skasowana ikona Centrum zabezpieczeń z zasobnika. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] C:\Users\Artur\Documents\Studia\III semestr\elektra\PCSX2 0.9.8 (r4600).lnk C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Install Logic Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f CMD: sc config WinDefend start= demand CMD: sc config wscsvc start= delayed-auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Zrób nowy log z Farbar Service Scanner. Dołącz też plik fixlog.txt.

Proszę dostosuj się do zasad działu jakie logi są tu obowiązkowe: KLIK. Obowiązkowe są logi z FRST i GMER. Logi z archaicznego OTL nie są w ogóle brane pod uwagę. Dodatkowo, skoro problem tyczy też pendrivów, zrób ekstra log z USBFix z opcji Listing przy podpiętych wszystkich pendrivach.

Poczekaj, aż Fix (jednorazowego użytku) ukończy działanie, nie przerywaj go "na chama". Po ukończeniu operacji zajmij się ponownie routerem. Na koniec nowe logi FRST.

Brak zmiany hasła oznacza, że infekcja wróci i to może się stać zanim dokończysz "Fix"... Poza tym, niezależnie od czyszczenia i tak może być wymagana aktualizacja firmware. Był przypadek tu na forum z podobnym modelem TP-Link, czyszczenie i poprawna konfiguracja zabezpieczeń nic nie dały, infekcja i tak zaatakowała router ponownie.

vs. ==================== Dyski ================================ Drive c: () (Fixed) (Total:99.56 GB) (Free:38.46 GB) NTFS Drive e: () (Fixed) (Total:831.17 GB) (Free:527.81 GB) NTFS ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: D9FA2484) Partition 1: (Active) - (Size=350 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=99.6 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=450 MB) - (Type=27) Partition 4: (Not Active) - (Size=831.2 GB) - (Type=07 NTFS) Przywracanie systemu jest ustawiane względem partycji a nie całości dysku. Dysk fizyczny duży, ale partycja C jest mała. Tak, 100GB to już "za mało" - u mnie przy tym progu Windows 10 zdecydował, że Przywracanie będzie wyłączone. Nie jestem pewna, ale wydaje mi się, że progiem przy którym Przywracanie jest deaktywowane na Windows 10 jest

TP-LINK TD-W8961ND to jeden ze słabo zabezpieczonych modeli. Dokładne operacje rozpisane w oficjalnych artykułach: Jak sprawdzić czy router ADSL firmy TP-LINK jest zabezpieczony przed dostępem niepowołanych osób od strony Internetu Może być również konieczna aktualizacja firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Firmware dla TD-W8961ND Masz do wyboru kilka serii firmware: V Numer. Porównujesz z naklejką na swoim urządzeniu i ustawiasz korespondujący link pobierania.

Oczywiście kont założonych tylko w celu diagostyki problemu nie ma sensu analizować. Usuń to konto przed przejściem do dalszych czynności. I jeśli konto "skaner" to coś w podobnym stylu, również do likwidacji. PS. I już nie aktualizuj posta powyżej tylko odpowiedz w nowym poniżej.

Obecnie w systemie głównie odpadki adware, choć niektóre nadal aktywne (usługa IhPul, Strong Signal w Firefox, polityki Google Chrome). Poza tym, odinstalowany Real Player nadal jest widoczny w niektórych miejscach. Do przeprowadzenia następujące akcje: 1. Odinstaluj bardzo starą wersję Java™ 6 Update 14, o ile to nie jest jakiś uszkodzony wpis. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Anka\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S1 yvupsowa; \??\C:\windows\system32\drivers\yvupsowa.sys [X] HKLM\...\Run: [] => [X] AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction CHR HKLM-x32\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2012-05-31] FF Plugin-x32: @real.com/nprpchromebrowserrecordext;version=15.0.4.53 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll [2012-05-31] (RealNetworks, Inc.) FF Plugin-x32: @real.com/nprphtml5videoshim;version=15.0.4.53 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll [2012-05-31] (RealNetworks, Inc.) FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext => not found FF HKLM-x32\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1293323331-2248878722-2786800865-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-1293323331-2248878722-2786800865-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {045B1CFA-948E-4404-972B-1C6E24002316} - \AdobeFlashPlayerUpdate 2 -> No File Task: {1B7C2DC9-FA9E-4F81-A977-98E39C30282E} - \Digital Sites -> No File Task: {2CD3B141-8C8E-4A86-A6BA-1885D68BD990} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {50F0318F-050C-472D-A634-E977276397BA} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {5C701DC2-27DB-4014-B5FC-C6D7E7011FE8} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {717F2BC1-1952-49BD-8F35-D64400F0EC30} - \EPUpdater -> No File Task: {7AF55485-618E-4FAC-84AE-1369F6589D6C} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2\upgrade.exe [2015-09-09] (ESET) Task: {8070672E-1EAA-4C4F-BA4F-6798CDF464A2} - System32\Tasks\DSite => C:\Users\Anka\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {8ED6477D-F491-43C9-955C-FC3017D8145C} - System32\Tasks\{8D2F4E4B-F84A-4720-876D-AA0C27EEF9D1} => pcalua.exe -a "C:\Users\Anka\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AB8X7P0E\sa2ara04k_02_psb_pol.exe" -d C:\Users\Anka\Desktop Task: {B513EAA4-8F86-4B84-A0B7-7E86E35D8830} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {B5CEB13E-7DC8-4F83-A007-88E55EFD48EC} - \AdobeFlashPlayerUpdate -> No File Task: {BEE5FB7E-40E9-41EA-8CFA-4F4646E6ACF2} - System32\Tasks\{8AB905BF-733D-4F7F-B288-4BC343C9EE1A} => Firefox.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {EA08777B-76B7-4E4A-87B0-28DBD7AF1265} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: C:\windows\Tasks\DSite.job => C:\Users\Anka\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\Real C:\Program Files (x86)\SFK C:\Program Files (x86)\WinZipper C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2 C:\ProgramData\Real C:\Users\A takie tam\AppData\Roaming\Real C:\Users\Anka\FLVPlayer C:\Users\Anka\AppData\Local\bdraw C:\Users\Anka\AppData\Local\screenSHU C:\Users\Anka\AppData\Roaming\MailUpdate C:\Users\Anka\AppData\Roaming\Real C:\Users\Anka\AppData\Roaming\StPrsSW C:\Users\Anka\AppData\Roaming\TSv C:\Users\Anka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\22find.lnk C:\Users\Anka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\Anka\Desktop\FLV Player.lnk C:\Users\skaner\Desktop\Yetisports Arctic Adventures.lnk C:\windows\SysWOW64\pl.html HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\13374173.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\13374173.sys => ""="Driver" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\FLV Player" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\bdraw" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PhilipsSongbirdLauncher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screenSHU" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Strong Signal" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {25DD98A4-32EE-496D-A121-AC92C551279D} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {25DD98A4-32EE-496D-A121-AC92C551279D} /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj odpadkowy RealDownloader Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie niedomyślne wyszukiwarki z wyjątkiem Google. 4. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. W systemie są aż trzy konta: ==================== Accounts: ============================= A takie tam (S-1-5-21-1293323331-2248878722-2786800865-1004 - Administrator - Enabled) => C:\Users\A takie tam Anka (S-1-5-21-1293323331-2248878722-2786800865-1001 - Administrator - Enabled) => C:\Users\Anka skaner (S-1-5-21-1293323331-2248878722-2786800865-1003 - Limited - Enabled) => C:\Users\skaner Należy sprawdzić każde konto z osobna. Zaloguj się na każde konto po kolei poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika, na każdym zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition. Czyli mają powstać po dwa logi na każde konto. Na koncie limitowanym skaner uruchom FRST przez dwuklik a nie opcję Uruchom jako administrator (to zmieni kontekst konta). Dołącz też plik fixlog.txt. I wypowiedz się dokładnie czy zarówno w Firefox, jak i Google Chrome nie ma już problemu. Jeśli Chrome nadal będzie szwankować, niezbędna będzie reinstalacja przeglądarki.

Reklamy na komputerze i telefonie - wiele urządzeń dziedziczy ustawienie, więc to infekcja routera. W raporcie FRST widać infekcję, bieżący hijack rumuńskim DNS, ale inne adresy też wyglądają na infekcję: KLIK / KLIK / KLIK. DNS Servers: 109.163.232.183 - 8.8.8.8 Tcpip\..\Interfaces\{c9119056-e5ea-4eac-a723-3c1660eff7cb}: [DhcpNameServer] 109.163.232.183 8.8.8.8 Tcpip\..\Interfaces\{21daf7b0-d9dc-46d5-8e9a-ba87fd2d7821}: [DhcpNameServer] 40.40.1.201 40.40.1.203 Tcpip\..\Interfaces\{6878ada7-258c-4883-9604-0435e87e029e}: [DhcpNameServer] 37.233.102.96 8.8.8.8 Akcje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Działania dodatkowe (usunięcie wpisów odpadkowych, etc). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {03D9C785-F8A9-4DD9-B2E0-941897E68DFA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1A43FB67-F2B4-4741-8D50-4B0D78832837} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {3CAB65A6-7A15-4859-9420-414EE6016327} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {88D39EA5-E3C4-4BF7-ACEB-E03C65F445C1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {8DFE7778-C9C2-4AFB-9F08-EA36DE8AFB5E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {96220206-4A8F-490A-8F90-95EAF1091A16} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - jakub_000) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: {9D874C04-0060-48FC-AD1F-9B091D46184A} - System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent Task: {AAB43B31-1253-4958-886D-3733CEFF3794} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {D7F8A52C-F32A-494F-8F9B-D88134AD5673} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {DF919F18-9F97-4EDE-A320-9562AF2348B5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {EE3D74BB-8C6D-4908-B439-A2BEBEC2B72F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F4E420F0-E31B-4605-AD36-98D2B2FA20E3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {F523D6E7-6121-4C56-941C-3A1E2F164283} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\WINDOWS\Tasks\SlimCleaner Plus (Scheduled Scan - jakub_000).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe S2 0151661444561241mcinstcleanup; C:\Users\JAKUB_~1\AppData\Local\Temp\015166~1.EXE -cleanup -nolog [X] S2 SlimService; "C:\Program Files\SlimService\SlimServiceFactory.exe" [X] HKU\S-1-5-21-1929143160-1137578705-3243844180-1004\...\Run: [slimCleaner Plus] => "C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe" /minimize /boot HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 SearchScopes: HKU\S-1-5-21-1929143160-1137578705-3243844180-1004 -> DefaultScope {4085D9A1-D852-4839-8A97-C3D48AA7D723} URL = SearchScopes: HKU\S-1-5-21-1929143160-1137578705-3243844180-1004 -> {4085D9A1-D852-4839-8A97-C3D48AA7D723} URL = FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [brak pliku] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1215155.dll [brak pliku] CMD: netsh advfirewall reset CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstał dwa logi. Dołącz też plik fixlog.txt.

Temat założony w dziale diagnostyki infekcji, brak danych wymaganych działem: KLIK. Obowiązkowe są raporty FRST + GMER.

Temat przenoszę do odpowiedniego działu Windows. To nie jest problem infekcji. Potem będzie do wykonania kosmetyka wpisów odpadkowych / pustych, ale to rzecz podrzędna. Podaj skan pokazujący wszystkie usługi Windows. Uruchom FRST, odznacz opcję Filtrowanie dla Usług, zrób skan i dostarcz wynikowy log.

1. Do wypróbowania przykładowe propozycje: - Darmowe antywirusy: Avast Free Antivirus, Panda Free Antivirus. Przy instalacjach odznaczyć bonusy (toolbary, Dropbox i podobne). - Komercyjne pakiety: Emsisoft Internet Security. - Skaner wspomagający na żądanie: multisilnikowy Reason Core Security (wersja Free) lub Malwarebytes Anti-Malware (wersja Free). Poczytaj też o tym jak ogólnie unikać instalacji adware/PUP: KLIK. 2. Możesz dostarczyć tu raporty do oceny z drugiego komputera. Ale jeśli to ESET jest przyczyną, wątpliwe by dało się coś uzyskać bez wymiany antywirusa.

Widzę nadal tę samą kombinację adresów DNS w logu, nie wiem co o niej sądzić, ona wygląda podejrzanie. Na wszelki wypadek ustawiłabym tam adresy DNS Google. WAN DNS Setting > Connect to DNS Server automatically? przestaw na No > DNS Server 1 wprowadź adres 8.8.8.8 + DNS Server 2 wprowadź adres 8.8.4.4 Tu chodzi o zamknięcie furtki przez którą infekcje atakują router, tzn. zdalne zarządzanie nim z poziomu interfejsu internetowego. Wspominałam o tym: Wygląda na to, że w Twoim modelu odpowiednikiem tego ustawienia jest: zakładka Firewall > General > Enable Web Access from WAN? przestawić na No. Tu nie chodzi o przyzwyczajenia, lecz ogólniejszą perspektywę. Bezpieczeństwo i prywatność: stary program, stare biblioteki szyfrowania z lukami, przywraca też stary niebezpieczy Adobe Flash 10, a ogrom reklam niewiarygodny. Wydajność: jest to jedna z najcięższych i najbardziej zaśmieconych wersji Gadu, nowsze GG są przyjaźniejsze. Czyli: 1. Konfigurujesz DNS oraz dostęp do panelu według podanych wyżej wskazówek i zapisujesz zmiany w routerze. Po konfiguracji routera uruchom ponownieWindows, by zaktualizował ustawienia. 2. Sprawa Gadu nadal aktualna. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pozycję Addition, dostarcz oba logi.

Nie podałeś dokładnej ścieżki gdzie Kaspersky wykrywa Trojan-Spy.Win32.Zbot.a. Tak, infekcja jest dobrze widoczna - uruchamia się przez Harmonogram zadań, dwie instalacje zadania AQIT. Ta infekcja może pochodzić z użycia cracka, w innym temacie był to "witaminizowany" pakiet Office. Czy uruchamiałeś coś tego typu? Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {8D5A0B82-6484-463E-A9B7-6422A6CD1AE0} - \SystemSoundsService -> Brak pliku Task: {E4CBBAEE-4B16-4402-9F74-87038B777E51} - System32\Tasks\AQIT => Rundll32.exe "C:\Windows\SysWOW64\MFC71CHTQ.dll",MNFUK Task: C:\Windows\Tasks\AQIT.job => C:\Windows\system32\rundll32.exe C:\Windows\SysWOW64\MFC71CHTQ.dll C:\Windows\SysWOW64\MFC71CHTQ.dll HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1797872797-1469522326-3676945280-1000\...\Policies\Explorer: [] S3 catchme; \??\C:\ComboFix12\catchme.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1797872797-1469522326-3676945280-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1797872797-1469522326-3676945280-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-1797872797-1469522326-3676945280-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DisableService: PLAY ONLINE. RunOuc Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Skanuj (Scan) - zaznacz ponownie pole Addition oraz brakujący Shortcut, by powstały 3 logi - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Oraz przeklej z dziennika Kasperskiego wykrywaną ścieżkę dostępu.

1. Tu jest jeszcze aktywny sterownik po niepoprawnie odinstalowanym ESET. Wejdź w Tryb awaryjny i zastosuj ESET Uninstaller. 2. Zakładam, że widok raportu jest aktualny i NIS nie został ponownie zainstalowany, gdyż mam w zamiarze usnąć drobne odpadki po nim, co skutkowałoby uszkodzeniem instalacji w przypadku jednak obecności NIS. Zaktualizuj FRST (tzn. pobierz ponownie). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0114BE92-B355-465B-B731-6EF3CE212EF6} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-07-27] (Symantec Corporation) Task: {1035F81C-66DB-4325-9846-EC1C9E006E3B} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\22.5.2.15\SymErr.exe Task: {BBC3D121-0203-4D9B-AB4D-5FF36812808A} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\22.5.2.15\SymErr.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Internet Security DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [ OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => Brak pliku ShellIconOverlayIdentifiers: [ OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => Brak pliku ShellIconOverlayIdentifiers: [ OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => Brak pliku SearchScopes: HKU\S-1-5-21-3790232170-1608757386-3303793035-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF user.js: detected! => C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\qb963fxu.default\user.js [2013-10-14] FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird C:\Program Files\Common Files\AV\Norton Internet Security C:\Program Files\Common Files\Symantec Shared C:\ProgramData\Norton C:\Windows\System32\Tasks\Norton Internet Security C:\Windows\System32\Tasks\Remediation Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v FlashPlayerUpdate /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v OODefragTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v OODefragTray /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

Nie odpowiedziałeś mi na pytanie: Akcje pomyślnie wykonane. Teraz: 1. Zainstaluj najnowszą stabilną wersję Google Chrome. Link w przyklejonym: KLIK. 2. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: odznacz filtrowanie dla Internet, nie zanaczaj pól Addition i Shortcut. Wypowiedz się jasno czy nadal występuje problem reklam i w której przeglądarce. Oraz czy po deinstalacji Acer eDataSecurity Management jest może jakaś poprawa ogólna w działaniu systemu.

To oznacza, że program nie wykrył żadnych znanych sobie flag infekcji. "Detection Search" służy do wyszukiwania informacji o znalezionej infekcji (w oknie wynik się podświetla i dopiero wtedy uruchamia tę funkcję). Funkcja bezużyteczna przy braku wykrycia czegoś. A ten błąd po jej uruchomieniu to jest także u mnie na systemie Windows 10. Czyli na dysku C również? Jak mówiłam, nic tu nie wskazuje na infekcję. Nie wystąpiły żadne objawy poświadczające infekcję: brak komunikatów ransom infekcji (szyfrowanie plików ma cel, tzn. uiszczanie opłat), brak śladów infekcji, brak sufiksów w nazwach zdefektowanych plików. W tej sytuacji widzę dwie możliwości: - Nie jest to infekcja lecz uszkodzenia plików z niewiadomych powodów. - Inne źródło niż widziany system / komputer: dyski tego systemu były w jakiś sposób dostępne (mapowanie dysków) dla innego komputera, na którym była infekcja. I czy tu przypadkiem nie ma dwóch systemów zainstalowanych? W raporcie jest odczyt, iż dwie partycje noszą pliki startowe: ==================== Dyski ================================ Drive c: (Dysk lokalny - PAWEŁ) (Fixed) (Total:33.65 GB) (Free:16.37 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive d: (Dysk lokalny - JAN) (Fixed) (Total:78.13 GB) (Free:18.19 GB) NTFS Drive e: (Dysk lokalny - PAWEŁ) (Fixed) (Total:24.41 GB) (Free:8.3 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive f: (Dysk lokalny - JAN) (Fixed) (Total:44.57 GB) (Free:39.83 GB) NTFS Nie jestem w stanie nic zrobić z tą usterką plików. Jedyna możliwość jaką widzę, to poszukiwanie poprzednich wersji plików za pomocą programów do odzyskiwania danych, np. TestDisk. Z tym że upłynęło dużo czasu, system był na na chodzie i odbywało się wielke zapisów na dysku, co skutecznie ogranicza szanse. Dodatkowo, jeśli to jednak była robota jakiejś infekcji, to obecnie w większości przypadków jest stosowane "bezpieczne usuwanie" uniemożliwiające korzystanie z programów do odzyskiwania danych. Osobna sprawa to innego typu korekty usprawniające system: 1. Odinstaluj stare wersje i zbędne programy: Adobe Flash Player 17 ActiveX, Adobe Reader X (10.1.8) - Polish, Adobe Shockwave Player 11.6, Chinese Traditional Fonts Support For Adobe Reader 9, Gadu-Gadu 7.7, IObit Malware Fighter, Java 2 Runtime Environment, SE v1.4.1_07, Java 7 Update 45, Java Web Start, SpyHunter 4, Surfing Protection. SpyHunter to wątpliwy program. IObit Malware Fighter zbędny przy Avast. Zaś marka IOBit nie jest tu ogólnie polecana: wybryki z kradzieżą bazy danych MBAM w przeszłości, niskie morale (adware w instalatorach, podejrzane związki partnerskie). Sugeruję pozbyć się wszystkich programów IOBit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AV: AVG Anti-Virus Free (Enabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-016 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1614895754-1425521274-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-1614895754-1425521274-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} HKU\S-1-5-21-1614895754-1425521274-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-016 URLSearchHook: HKU\S-1-5-21-1614895754-1425521274-682003330-1004 - (Brak nazwy) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - Brak pliku HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} SearchScopes: HKU\S-1-5-21-1614895754-1425521274-682003330-1004 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} BHO: Brak nazwy -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> => Brak pliku BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> => Brak pliku BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> => Brak pliku Handler: linkscanner - No CLSID Value - FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S3 eapihdrv; \??\C:\DOCUME~1\Jan\USTAWI~1\Temp\ehdrv.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 VIAudio; system32\drivers\vinyl97.sys [X] U4 WMCoreService; Brak ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Documents and Settings\Jan\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\mozilla firefox\plugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Firefox w Dodatkach odmontuj Advanced SystemCare Surfing Protection, o ile nadal będzi widoczy po w/w deinstalacji. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi Dołącz też plik fixlog.txt.

Komunikaty TeslaDecoder są zgodne z przypuszczeniami - program nie może odkodować plików tej wersji TeslaCrypt. A jeśli chodzi o kontynuację sprzątania dysków, to potrzebuję więcej czasu na przejrzenie ogromnych wyników z dwóch plików Fixlog.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Nie podałeś wyników - jakie "wirusy", w jakiej ścieżce dostępu. Przeklej dokładnie z dzienników skanera te rekordy. Sama obecność conhost.exe (host konsoli) w procesach o niczym nie świadczy. To jest proces systemowy: KLIK / KLIK. Pojawia się, gdy zostaje uruchomiony program konsolowy bez graficznego intefejsu posługujący się linią komend. Programów tego typu jest multum, zarówno legalnych, jak i szkodliwych. W Twoim przypadku prawdopodobnie te wystąpienia conhost.exe, zwłaszcza ta uruchomiona z kontekstu innego konta, są produkowane przez oprogramowanie nVidia. Konkretnie chodzi o usługę NvStreamSvc: R2 GfExperienceService; C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [1155192 2015-10-03] (NVIDIA Corporation) R2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1872504 2015-10-03] (NVIDIA Corporation) R2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe [5544568 2015-10-03] (NVIDIA Corporation) "Odmowa dostępu" = Menedżer zadań został uruchomiony na obniżonych uprawnieniach (domyślnie startuje w kontekście użytkownika). Opcja Pokaż procesy wszystkich użytkowników wykonuje elewację uprawnień, wtedy też pojawią się brakujące szczegóły (Nazwa użytkownika + Opis) procesów uruchomionych z kontekstu innych kont, m.in. dla tej drugiej instancji conhost.exe. Zabijanie procesów nic nie da, jeśli w tle są automatycznie uruchamiane komponenty, które odpalają ten proces. Z raportów nic konkretnego nie wynika. Sugestie: 1. Jedyne czego mogę się uchwycić, to te błędy z Dziennika zdarzeń: Dziennik System: ============= Error: (10/15/2015 04:13:40 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Windows Search niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 30000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (10/15/2015 04:13:40 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Windows Search zakończyła działanie; wystąpił specyficzny dla niej błąd %%-1073473535. Error: (10/14/2015 04:14:39 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (10/10/2015 08:44:24 AM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (10/08/2015 04:19:26 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (10/07/2015 04:16:52 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Windows Live ID Sign-in Assistant z powodu następującego błędu: %%1053 Error: (10/07/2015 04:16:51 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Windows Live ID Sign-in Assistant. Error: (10/02/2015 08:23:30 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Zawieszanie usługi Windows Update to może być przyczyna wolniejszej pracy systemu. Zacznij od resetu Windows Update za pomocą narzędzia Fix It 50202 (zaznacz tryb agresywny): KLIK. 2. Sugeruję też odinstalować aktualizator NVIDIA GeForce Experience 2.5.14.5. Komponent niekrytyczny, a zostanie obniżona liczba uruchomionych procesów, znikną te dodatkowe usługi cytowane powyżej. 3. Wreszcie, winowajcą może być po prostu Avast, również pod kątem wolniejszego wczytywania stron. Sprawdź to ustawienie: Prawy klik na ikonę głośności w obszarze powiadomień > Dźwięki > Komunikacja > w sekcji "Gdy w systemie Windows zostanie wykryta aktywna komunikacja" przestaw na "Nic nie rób". PS. Drobnostka w Google Chrome: Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

+ Temat powinien zostać założony w dziale Hardware. Ale skoro się uporałeś z problemem, to temat przesuwam do Windows. Komentując poboczne rzeczy (nie mają związku z powyższym i nie stanowią problemu): 1. Tajemniczy dysk: To nie jest pendrive, ani żaden inny zewnętrzny nośnik. To jest partycja zlokalizowana na Twoim dysku twardym (jedynym zresztą) i jest to partycja trzymająca pliki rozruchowe Windows. Nie można jej więc usunąć, bo system się już nie uruchomi: ==================== Drives ================================ Drive c: () (Fixed) (Total:115.66 GB) (Free:55.5 GB) NTFS Drive d: () (Fixed) (Total:350 GB) (Free:263.81 GB) NTFS Drive f: () (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[system with boot components (obtained from reading drive)] ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: EC34CAE9) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=115.7 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=350 GB) - (Type=07 NTFS) ==================== End Of Log ============================ Rozmiar 100MB wskazuje, że to klasyczna partycja "Zastrzeżone przez system" tworzona przez instalator Windows 7. Powinna być u Ciebie już od momentu instalacji Windows tylko jej nie widziałeś. Ta partycja rozruchowa domyślnie jest ukryta (standardowo brak przypisanej litery) i nie powinna być widoczna. Nie dowiem się co zrobiłeś, że ją widać, ale przypuszczam, że kombinowałeś coś z przyznawaniem liter. Po prostu usuń literę, by doprowadzić do braku widoczności w Komputerze: Start > w polu szukania wpisz diskmgmt.msc > z prawokliku Uruchom jako Administrator > prawoklik na tę partycję > Zmień literę ... > Usuń 2. Skan Avira: Beginning disinfection: D:\Instalki\VLC-media-player(13060)-dp.exe [DETECTION] Contains patterns of software PUA/InstallCore.Gen7 [WARNING] The file was ignored. D:\Instalki\NET-Framework(35626)-dp.exe [DETECTION] Contains patterns of software PUA/InstallCore.Gen7 [WARNING] The file was ignored. Zerowy wpływ na system (o ile nie zostałyby te pliki uruchomione ręcznie). Wykryte pobrane pliki "Asystenta pobierania" dobrychprogramów zamiast poprawnych instalatorów. Więcej na ten temat: KLIK. PS. W spoilerze malutka drobnostka, w ogóle nie powiązana z żadnym problemem, tzn. usunięcie / korekcja wpisów pustych.

To nie jest sprawa infekcji. Odcięcie prądu > niepoprawne wymuszone zamknięcie systemu > potencjalne uszkodzenia systemu plików oraz plików. Owszem, występuje dodatkowy aspekt, czyli infekcja, ale ona nie wygląda na przyczynę niemożności startu, nie ten poziom modyfikacji. Sprawa traktowana tu jako podrzędna. Zajmę się tym oczywiście. 1. Rozpocznij od wykonania w "System Recovery Options" > "Command Prompt" > komendy: chkdsk /f /r Następnie: sfc /scannow /offbootdir=C:\ /offwindir=C:\windows Dopiero po ukończeniu tej fazy: 2. Usunięcie widocznej infekcji w starcie. Do Notatnika wklej: HKU\Marcin\...\Run: [mssend] => C:\Users\Marcin\AppData\Roaming\xo321r1hfb3fmmgmvc1piatg2dnyladv2\svcnost.exe [107008 2011-06-23] () HKU\Marcin\...\Run: [tmpD0A8] => wscript.exe //B "C:\Users\Marcin\AppData\Roaming\tmpD0A8.tmp.update.vbs" HKU\Marcin\Control Panel\Desktop\\SCRNSAVE.EXE -> Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7192af16c8.dat [2011-03-08] () Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe [2011-03-08] (Matisse) Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmpD0A8.tmp.update.vbs [2015-09-04] () C:\Users\Marcin\AppData\Local\Temp C:\Users\Marcin\AppData\Roaming\tmpD0A8.tmp.update.vbs C:\Users\Marcin\AppData\Roaming\xo321r1hfb3fmmgmvc1piatg2dnyladv2 DisableService: sptd Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Spróbuj uruchomić Windows. Jeśli się uruchomi, zrób kompletne raporty z FRST (wliczając Addition + Shortcut) oraz GMER.

Zadanie pomyślnie wykonane. W tym folderze był tylko jeden plik SteamHelper.exe. Jeśli obecnie problem dotyczy tylko Steam, to być może cała instalacja jest zmodyfikowana. 1. Odinstaluj Steam w całości. Po deinstalacji przez SHIFT+DEL (omija Kosz) skasuj następujące foldery: C:\Program Files (x86)\Steam D:\Program Files (x86)\Steam C:\ProgramData\Steam C:\Users\Tomek\AppData\Local\Steam C:\Users\Tomek\AppData\Roaming\Steam (niektórych może nie być, uwzględniłam też dwie ścieżki z różnych dysków) 2. Pobierz z oficjalnej strony i zainstaluj Steam: KLIK. 3. Na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan), zaznacz też pole Addition. Podsumuj czy nadal w Steam są reklamy.