picasso

Fix FRST zatrzymał się na ostatniej komendzie EmptyTemp: (czyszczenie lokalizacji tymczasowych) - wskazujesz, że w oknie przetwarzaną wtedy ścieżką było coś od Firefoxa. Tę komendę trzeba będzie powtórzyć. Jeden "chiński" wpis mi umknął + pozostałe poprawki (m.in. szczątki Rising): Otwórz Notatnik i wklej w nim: Task: {244EA8EB-A876-41F7-A5A5-C60B279EBDC8} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\Program Files (x86)\Rising\RAV\rsdelaylauncher.exe S2 RsMgrSvc; No ImagePath BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TSWebMon64.dat No File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\GUM4B64.tmp RemoveDirectory: C:\Program Files (x86)\Rising RemoveDirectory: C:\ProgramData\Rising RemoveDirectory: C:\RavBin CMD: del /q C:\Users\Jasiu\Downloads\tz51hegy.exe CMD: del /q C:\WINDOWS\SysWOW64\vpatch.dll Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RSDTRAY /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RavTRAY /f Hosts: EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Ma nastąpić restart, opuść Tryb awaryjny. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

Infekcję rekonstruują w każdej dostępnej przeglądarce aktywne zadania ustawione w Harmonogramie zadań. Działania do wdrożenia: 1. Przez Panel sterowania odinstaluj poszkodowane Google Chrome oraz starą wersję Java 7 Update 67. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {05B199B3-BD53-4095-BBAA-7C0FE29A7C35} - System32\Tasks\{1D1B2DC0-020E-4882-B85C-554CC1727780} => pcalua.exe -a D:\Setup.exe -d D:\ Task: {0E394ED5-DC81-4822-8E5E-E4D1FD33AF10} - System32\Tasks\{89BD8B34-DEE4-4E68-96C5-2B7B125E885B} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {19501AD6-2E95-4624-8FC9-5C248A2CCB6A} - System32\Tasks\AffiliatedUpdate => C:\Users\DON\AppData\Roaming\AFFILI~1\UPDATE~1\UPDATE~1.EXE Task: {1CA1C98E-1713-4C6F-9356-4643B0CE732B} - System32\Tasks\{66FE8832-068D-4C8E-8237-279DD4A94DEF} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {1CAFBC20-2E25-4485-8C4C-185F8D327174} - System32\Tasks\{E7472E04-EDE8-4791-8AD0-309EDCEDAD3E} => Firefox.exe http://ui.skype.com/ui/0/6.18.60.106/pl/go/help.faq.installer?LastError=1638 Task: {49F9B34A-E017-4766-A68A-BCBA6A50E130} - System32\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-4 => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-4.exe [2014-04-03] (Freeven) Task: {4B1F2A32-1BB4-4304-9A8B-1F68B3854772} - System32\Tasks\{A39C8C5E-7BF4-4397-B871-E94C3EADECF9} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {518C5091-0F07-4192-B49A-60B02DFFD3DC} - System32\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-5 => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-5.exe [2014-04-03] (Freeven) Task: {5523FFD8-2948-4DA3-98FD-09F41A1C31DE} - System32\Tasks\{76CDE6CC-0E9E-4A74-B9A3-D2A099BC5E27} => Iexplore.exe http://ui.skype.com/ui/0/6.18.60.106/en/go/help.faq.installer?LastError=1638 Task: {69D9F105-3B88-40B0-8244-B5531B377952} - System32\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-5 => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-5.exe Task: {785D0F1A-94F1-4CFE-A0AC-D956B5A76BE4} - System32\Tasks\{DF437F4D-5E67-4D19-A8EA-2A85290B06B7} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?LastError=1638 Task: {7B35D655-7B04-451B-B94B-0351ECAD0854} - System32\Tasks\{4B61DF04-FA32-44DA-8F16-86494583A6F5} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {82947D5B-BA22-4C87-8FB6-89D965CFC070} - System32\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-4 => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-4.exe Task: {9A536D27-2386-4E35-AA13-0E041DCD3611} - System32\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-3 => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-3.exe [2014-04-03] (Freeven) Task: {9DBDB9E7-43E8-47AF-9A5F-7F2C6C41A37B} - System32\Tasks\SoftPlanet Software Assistant => C:\Program Files (x86)\SoftPlanet Software Assistant\spassist.exe [2013-12-09] (Secure Download Ltd.) Task: {A60DBB5B-DF7F-48CC-9009-CFD87895E41D} - System32\Tasks\{461593F8-1F25-47CC-BC3B-7F3AD060DB0F} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {B0B9E6FC-C158-46FD-8D36-A05E280A84B0} - System32\Tasks\{89BAF6CB-EE6F-4D8B-A463-DBC1066A98BF} => Iexplore.exe http://ui.skype.com/ui/0/6.18.60.106/en/go/help.faq.installer?LastError=1638 Task: {B98FF139-DD48-4F58-8A6D-DBC07647DBAE} - System32\Tasks\{370AC80F-1FB4-41BB-9B4E-291B11551633} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.5.0.158&LastError=404 Task: {BF0C410F-5894-4F62-98ED-1DD7B19EF95B} - System32\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-1 => C:\Program Files (x86)\Freeven pro\Freeven pro-codedownloader.exe Task: {C971E6FA-3FE8-4ADC-8CD9-7F031BB3A083} - System32\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-1 => C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-codedownloader.exe [2014-04-03] (Freeven) Task: {D075A481-8903-4A76-A469-CD7CD6A00745} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {D95DDAE0-4492-4F51-9CDF-A89F327F8BBF} - System32\Tasks\{64C9DB15-FD58-4BBC-971E-AE50C84FBE7B} => Iexplore.exe http://ui.skype.com/ui/0/6.18.60.106/en/go/help.faq.installer?LastError=1638 Task: {E3EF408A-872F-4B23-B91E-E54261103792} - System32\Tasks\{8C095CBF-FC3F-4A2B-9120-49DC4C5A2339} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/en/go/help.faq.installer?LastError=1638 Task: {E5644DD2-93AA-4B97-9C0C-A6E5CC53B8E3} - System32\Tasks\{67032755-BE8C-4466-ABDC-86853B828C5D} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {EF39399B-A3B4-40FF-AE1A-3E5F1BAFAA14} - System32\Tasks\{590302A3-78FB-466D-9C64-64A7503AC631} => pcalua.exe -a "C:\Program Files (x86)\Uninstall Information\97\3867\uninstall.exe" -c /PUninstall="HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\77Zip" /reg=32 /cid=97 Task: {FBFF3DCC-E1DB-4E91-B632-F27498B3C9FB} - System32\Tasks\{F4FE0AA3-6AE0-4EC8-853B-1E6807F2C84F} => Iexplore.exe http://ui.skype.com/ui/0/6.5.0.158/en/abandoninstall?source=lightinstaller&page=tsMain Task: {FE15DC0F-64DC-4022-8A76-A7E8D6D75C54} - System32\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-3 => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-3.exe Task: C:\Windows\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-1.job => C:\Program Files (x86)\Freeven pro\Freeven pro-codedownloader.exeǷ/uMuOzh /sNKZj=task /OvIGnaBN='Freeven pro' /vsBcw=54248 /ngHiv='001360' /qwhUEGjCC='0' /DHBkRFBBQ='0' /FgNeiA=C75207F273AA41FBB201F00076BAE99DIE /QDFYVzaq=82287b0e7be6dcdbad6d18279e527843 /HWHvH=1_34_3_28 /EpSyG=1.34.3.28 /oublx=1396544465 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /KfknWrgZ=http:/js.clientdataservice.com /HiGrK=ie /CtKvl /wMcTp='http:/update.clientdataservice.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-3.job => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-3.exe Task: C:\Windows\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-4.job => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-4.exe͟/IvDTEXs /OvIGnaBN='Freeven pro' /ZZEHiqn C:\Program Files (x86)\Freeven pro\54248.xpi' /vsBcw=54248 /ngHiv='001360' /qwhUEGjCC='0' /DHBkRFBBQ='0' /FgNeiA=C75207F273AA41FBB201F00076BAE99DIE /QDFYVzaq=82287b0e7be6dcdbad6d18279e527843 /HWHvH=1_34_3_28 /EpSyG=1.34.3.28 /oublx=1396544465 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /cArMgMMj=300 /lFbAt=a0046b9b-fdb9-497f-a4b1-2a108ad6007a@5cdf80b7-0420-4bb7-b3c0-e188e6f4fb8a.com /RvXTb=0.94 /ztJazWqJ=aa0046b9bfdb9497fa4b12a108ad6007a5cdf80b704204bb7b3c0e188e6f4fb8acom54248 /pYRPZiEK=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/54248.rdf /aFQmrsZZo='Freeven pro' /fJzztV='Feven Shopping Companion' /hfPlBG='Freeven' /HiGrK=ie /CtKvl /zkZRtaHsz /SRDGOHri /wMcTp='http:/update.clientdataservice.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-5.job => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-5.exeȜ/CUqnW /OvIGnaBN='Freeven pro' /vsBcw=54248 /ngHiv='001360' /qwhUEGjCC='0' /DHBkRFBBQ='0' /FgNeiA=C75207F273AA41FBB201F00076BAE99DIE /QDFYVzaq=82287b0e7be6dcdbad6d18279e527843 /HWHvH=1_34_3_28 /oublx=1396544465 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /tRiQJy=http:/ipgeoapi.com/ /eljTXyB=http:/update.clientdataservice.com /AcNPifRpi=9 /lZLxxOQND=http:/stats.mstatsserv.com /wMcTp='http:/update.clientdataservice.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\AffiliatedUpdate.job => 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ask: C:\Windows\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-1.job => C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-codedownloader.exeȗ/uMuOzh /sNKZj=task /OvIGnaBN='MediaPlayerplus' /vsBcw=54246 /ngHiv='001359' /qwhUEGjCC='verticals-ads,shopping,intext' /DHBkRFBBQ='0' /FgNeiA=051250BA9AFE4940BDCC23100D6CE7C2IE /QDFYVzaq=2bb925c143c728caab2d1a0d698d7d33 /HWHvH=1_34_3_28 /EpSyG=1.34.3.28 /oublx=1396544496 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /KfknWrgZ=http:/js.clientdataservice.com /HiGrK=ie /CtKvl /wMcTp='http:/update.clientdataservice.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-3.job => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-3.exe Task: C:\Windows\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-4.job => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-4.exe΋/IvDTEXs /OvIGnaBN='MediaPlayerplus' /ZZEHiqn C:\Program Files (x86)\MediaPlayerplus\54246.xpi' /vsBcw=54246 /ngHiv='001359' /qwhUEGjCC='verticals-ads,shopping,intext' /DHBkRFBBQ='0' /FgNeiA=051250BA9AFE4940BDCC23100D6CE7C2IE /QDFYVzaq=2bb925c143c728caab2d1a0d698d7d33 /HWHvH=1_34_3_28 /EpSyG=1.34.3.28 /oublx=1396544496 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /cArMgMMj=300 /lFbAt=a9719e64-232b-4695-ae9c-a89cd7f2aa84@ca1279df-bc0d-44a8-97ef-19301c922b68.com /RvXTb=0.94 /ztJazWqJ=aa9719e64232b4695ae9ca89cd7f2aa84ca1279dfbc0d44a897ef19301c922b68com54246 /pYRPZiEK=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/54246.rdf /aFQmrsZZo='MediaPlayerplus' /fJzztV='MediaPlayerEnhance Extension' /hfPlBG='Freeven' /HiGrK=ie /CtKvl /zkZRtaHsz /SRDGOHri /wMcTp='http:/update.clientdataservice.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-5.job => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-5.exeȼ/CUqnW /OvIGnaBN='MediaPlayerplus' /vsBcw=54246 /ngHiv='001359' /qwhUEGjCC='verticals-ads,shopping,intext' /DHBkRFBBQ='0' /FgNeiA=051250BA9AFE4940BDCC23100D6CE7C2IE /QDFYVzaq=2bb925c143c728caab2d1a0d698d7d33 /HWHvH=1_34_3_28 /oublx=1396544496 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /tRiQJy=http:/ipgeoapi.com/ /eljTXyB=http:/update.clientdataservice.com /AcNPifRpi=9 /lZLxxOQND=http:/stats.mstatsserv.com /wMcTp='http:/update.clientdataservice.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM-x32\...\Run: [MapsGalaxy_39 Browser Plugin Loader 64] => C:\Program Files (x86)\MapsGalaxy_39\bar\1.bin\39brmon64.exe HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-3674742494-2999520443-3398800312-1000\...\Run: [iLivid] => "C:\Users\DON\AppData\Local\iLivid\iLivid.exe" -autorun HKU\S-1-5-21-3674742494-2999520443-3398800312-1000\...\Run: [Free Download Manager] => "C:\Program Files (x86)\Free Download Manager\fdm.exe" -autorun) HKU\S-1-5-21-3674742494-2999520443-3398800312-1000\...\MountPoints2: D - D:\Setup.exe AppInit_DLLs: C:\PROGRA~2\OPTIMI~1\OPTPRO~2.DLL => C:\PROGRA~2\OPTIMI~1\OPTPRO~2.DLL File not found Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FAH.lnk [2015-07-16] ShortcutTarget: FAH.lnk -> C:\Program Files\WinZip\FAH\FAHConsole.exe (Nico Mak Computing) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinZip Preloader.lnk [2015-07-16] ShortcutTarget: WinZip Preloader.lnk -> C:\Program Files\WinZip\WzPreloader.exe (WinZip Computing, S.L.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKLM -> {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = SearchScopes: HKLM-x32 -> DefaultScope {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=Tuguu&dpid=TuguuTU&co=GB&userid=c592d3cb-98a3-fce3-899d-6ddfc7843dc2&searchtype=ds&q={searchTerms}&installDate=20/02/2014 SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-3674742494-2999520443-3398800312-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?gd=&ctid=CT3319613&octid=EB_ORIGINAL_CTID&ISID=MC4FA73B5-0EDB-472E-A4AE-79B961737025&SearchSource=58&CUI=&UM=5&UP=SP8C9A53BB-E1DF-4C09-8CD5-CAF40FCBC7B0&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-3674742494-2999520443-3398800312-1000 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=Tuguu&dpid=TuguuTU&co=GB&userid=c592d3cb-98a3-fce3-899d-6ddfc7843dc2&searchtype=ds&q={searchTerms}&installDate=20/02/2014 SearchScopes: HKU\S-1-5-21-3674742494-2999520443-3398800312-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?gd=&ctid=CT3319613&octid=EB_ORIGINAL_CTID&ISID=MC4FA73B5-0EDB-472E-A4AE-79B961737025&SearchSource=58&CUI=&UM=5&UP=SP8C9A53BB-E1DF-4C09-8CD5-CAF40FCBC7B0&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-3674742494-2999520443-3398800312-1000 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE BHO: MediaPlayerplus -> {11111111-1111-1111-1111-110511421146} -> C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-bho64.dll [2014-04-03] (Freeven) BHO: Freeven pro -> {11111111-1111-1111-1111-110511421148} -> C:\Program Files (x86)\Freeven pro\Freeven pro-bho64.dll No File BHO-x32: Free Download Manager -> {CC59E0F9-7E43-44FA-9FAA-8377850BF205} -> C:\Program Files (x86)\Free Download Manager\iefdm2.dll No File Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File C:\Program Files (x86)\Google C:\Program Files (x86)\Freeven pro C:\Program Files (x86)\MediaPlayerplus C:\Program Files (x86)\SoftPlanet Software Assistant C:\ProgramData\Microsoft\Windows\Start Menu\Programs\InstallConverter C:\ProgramData\TEMP C:\Users\DON\AppData\Local\{40F5DE87-0BED-41CA-B91D-0F9383EC6FDA} C:\Users\DON\AppData\Local\Google Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na temat pobierania z dobrychprogramów: KLIK. Obecnie to siedlisko syfu. To jest niepożądana strona, której jedyny cel to promocja lewego programu SpyHunter! Jest ogromna ilość takich fałszywek w sieci, opis infekcji nawet może się zgadzać, ale zalecenie usuwania to zawsze użycie SpyHunter... Problem oczywiście nie rozwiązany - multum przekierowań istartsurf.com i protektor tych ustawień MiuiTab (czyli ów "Search Protect"). Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [125112 2015-06-24] (XTab system) S1 wafd_vt_1_10_0_20; system32\drivers\wafd_vt_1_10_0_20.sys [X] HKU\S-1-5-21-3558422558-433605425-3847010577-1000\...\Run: [unified Remote v2] => C:\Program Files (x86)\Unified Remote\RemoteServer.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436692916&z=de6332c23574daf7dbb257dg5zfc4q1q6tao7tfe2w&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436692916&z=de6332c23574daf7dbb257dg5zfc4q1q6tao7tfe2w&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436692916&z=de6332c23574daf7dbb257dg5zfc4q1q6tao7tfe2w&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436692916&z=de6332c23574daf7dbb257dg5zfc4q1q6tao7tfe2w&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} HKU\S-1-5-21-3558422558-433605425-3847010577-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} HKU\S-1-5-21-3558422558-433605425-3847010577-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKU\S-1-5-21-3558422558-433605425-3847010577-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKU\S-1-5-21-3558422558-433605425-3847010577-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} SearchScopes: HKU\S-1-5-21-3558422558-433605425-3847010577-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} SearchScopes: HKU\S-1-5-21-3558422558-433605425-3847010577-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&ts=1436692965&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3558422558-433605425-3847010577-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&ts=1436692965&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3558422558-433605425-3847010577-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} SearchScopes: HKU\S-1-5-21-3558422558-433605425-3847010577-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&ts=1436692965&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll [2015-06-24] (Thinknice Co. Limited) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml [2015-07-12] C:\Program Files (x86)\MiuiTab C:\ProgramData\IHProtectUpDate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Talk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

To menu jest standardowo dla wszystkich dysków widoczne. Ja pytam czy widzisz w menu kontekstowym nazwę encrypt-bde-elev (nazwa figurująca tylko w rejestrze) czy Włącz funkcję BitLocker (nazwa wyświetlana dla encrypt-bde-elev). To jest to samo, tylko że w menu widoczna ma być nazwa wywietlana a nie nazwa z rejestru, w przeciwnym wypadku w systemie jest jakieś uszkodzenie.

Teraz możemy zająć się kosmetyką. Do usunięcia puste wpisy oraz czyszczenie Tempów. Przypuszczalnie infekcja startowała via Harmonogram zadań - patrz na fałszywkę Adobe Flash Player Updater v17.053 w poniższym skrypcie - wpis powstał wczoraj, ale były jakieś manipulacje i coś usunęło plik infekcji (zadanie jest martwe). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {C2E9F035-CCAA-4C44-A825-B6DD6A9FD6FB} - System32\Tasks\Adobe Flash Player Updater v17.053 => C:\Users\Przemek\AppData\Roaming\Adobe\Flash Task: {151B0398-0FBB-4C79-AFE4-FFECE6C02BCC} - System32\Tasks\{1D038069-A20D-4F82-9044-9A5B4C92E313} => Chrome.exe http://ui.skype.com/ui/0/7.1.73.105.456/pl/abandoninstall?page=tsProgressBar Task: {19D03418-5506-4519-A72A-BDF8FC8FFFA7} - System32\Tasks\{B682C19B-BFD0-4AF2-AA20-F190E8A6DD0F} => Chrome.exe http://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?source=lightinstaller&page=tsMain S3 cpuz138; \??\C:\Users\Przemek\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] HKU\S-1-5-21-4233494923-3357577127-3169329625-1000\...\Policies\system: [EnableLUA] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = C:\ProgramData\APN C:\ProgramData\.windows.sys C:\Users\Przemek\AppData\Local\{B5C00876-19EA-45A5-87C6-99B59158DBC1} C:\Users\Przemek\AppData\Local\BIT2693.tmp C:\Users\Przemek\AppData\Local\Microsoft\Windows\GameExplorer\{AE529A0D-63C2-4BA5-AEB1-3312A28F5CDD} C:\Users\Przemek\AppData\Local\Microsoft\Windows\GameExplorer\{68834329-C095-4240-9DF2-7E89E01C7DDD} C:\Users\Przemek\AppData\Local\Microsoft\Windows\GameExplorer\{49F08473-3486-460D-B5A7-47CB59893732} C:\Users\Przemek\AppData\Local\Microsoft\Windows\GameExplorer\{193D06CE-2C2C-4EE4-BC31-16BD25F6523D} C:\Users\Przemek\AppData\Roaming\Adobe C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\SendTo\Sandboxie*.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sandboxed Web Browser.lnk C:\Windows\Sandboxie.ini EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe logi FRST nie są mi potrzebne.

Za późno zedytowałam Fixlist. W 14 linii od dołu był brak parametru cichego (to blokuje wykonanie komendy Reg): Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Google /f Skrypt zatrzymał się na nieskończoności, dlatego też nie nastąpił reset. Edytowałam post zmieniając i inne rzeczy w skrypcie. Niestety Ty już przetwarzałeś skrypt w wersji pierwotnej. W logu są także ślady niepoprawnych deinstalacji. Np. na liście zainstalowanych w ogóle nie figuruje Adobe Shockwave Player czy Java, a stare wtyczki Adobe Shockwave + Java 7 są ładowane w Firefox, na dysku są też foldery Java 8. Misz masz. I może przyczyną jest to: Są pewne aplikacje, które lepiej usuwać za pomocą natywnych deinstalatorów oraz pomocniczych specjalnych firmowych usuwaczy. Do tej kategorii należą m.in. programy zabezpieczające (antywirusy / firewalle). Wg raportu FRST są dwa rodzaje w Firefox - RealPlayer oraz Real Alternative. To wersja 6.0.12.69 widziana na obrazku pochodzi od Real Alternative. Notabene, wszystko cholernie stare, może być naruszeniem bezpieczeństwa: FF Plugin: @real.com/nppl3260;version=16.0.3.51 -> c:\program files\real\realplayer\Netscape6\nppl3260.dll [2013-10-06] (RealNetworks, Inc.) FF Plugin: @real.com/nprjplug;version=15.0.0.198 -> c:\program files\real\realplayer\Netscape6\nprjplug.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprpchromebrowserrecordext;version=15.0.0.198 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprphtml5videoshim;version=15.0.0.198 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=15.0.0.198 -> c:\program files\real\realplayer\Netscape6\nprpjplug.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=6.0.12.69 -> C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll [2008-09-10] (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.3.51 -> c:\program files\real\realplayer\Netscape6\nprpplugin.dll [2013-10-06] (RealPlayer) Foldery Microsoftu z uszkodzonymi uprawnieniami pomyślnie odblokowane. Poza tym, pojawił się nowy odczyt detekcji skryptów startowych ustawionych via GPO - nie było wcześniej tego widać, gdyż to nowa detekcja którą zaproponowałam, wprowadzona co dopiero w FRST. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: GroupPolicyScripts: Group Policy detected GroupPolicyScripts\User: Group Policy detected R2 AcrSch2Svc; C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe [804560 2010-12-21] (Acronis) S3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.) HKLM\...\Run: [usBuga Acronis Scheduler2] => C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe [390760 2010-12-21] (Acronis) FF Plugin: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1214154.dll [2014-11-07] (Adobe Systems, Inc.) FF Plugin: @java.com/DTPlugin,version=10.72.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll [2014-11-19] (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.72.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll [2014-11-19] (Oracle Corporation) C:\Program Files\Common Files\Acronis C:\ProgramData\mxnhytee.feu C:\Users\Włodek\AppData\Local\{AA15A737-1359-4DC7-857E-B73A86715A29} C:\Users\Włodek\AppData\Roaming\CrashRpt1402.dll C:\Windows\System32\DRIVERS\hamachi.sys RemoveDirectory: C:\Windows\system32\Adobe RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Roaming\Softland RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 DisableService: UleadBurningHelper Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005_Classes\CLSID /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Google /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Windows\CurrentVersion\Uninstall /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny fixlog.txt. 2. (De)instalacje: - Wejdź do folderu C:\Program Files\Java i poszukaj czy jest tam deinstalator - znaleziony "Uruchom jako administrator". jeśli deinstalatora brak, wywal cały folder. Następnie, jeśli Java ma być czynna w Firefox, zainstaluj najnowszą wersję - link w przyklejonym: KLIK. - Sugeruję też wywalić Real Player. 3. Zrób nowy log FRST z opcji Scan - nie odznaczaj już pól Whitelist, ale zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. I powiedz mi czy Windows Update zaczęło działać, oraz które z problemów w systemie nadal są obiecne.

- Jedyne co można zrobić, to zabezpieczyć pendrive przed automatycznym wykonaniem ze szkodliwych plików autorun.inf, np. za pomocą Panda USB Vaccine - opcja USB Vaccination tworzy na pendrive "lewy" plik autorun.inf zablokowany tak, że nie da się go w ogóle usunąć (czyli infekcja też nie może go nadpisać wstawiając własny plik). Ta metoda nie blokuje infekcji która tu była, bo to inny rodzaj: KLIK. - Niestety brak 100% metody zabezpieczenia nośnika. Takową byłoby zablokowanie zapisu na urządzeniu, ale wtedy pendrive przestałby pełnić swoją funkcję wymiany i migracji danych między komputerami.

Brak notowalnych uszkodzeń. Usługi Centrum zabezpieczeń, Windows Update oraz Windows Defender są po prostu wyłączone. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik na Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Dla usługi Windows Defender Typ uruchomienia ustaw na Automatyczny. Zresetuj system i podaj czy konfiguracja się utrzymuje i usługi są uruchomione poprawnie.

Wszystko pomyślnie przetworzone. Teraz przejdźmy do tego uszkodzonego Przywracania systemu. Wejdź do konfiguracji Przywracania: KLIK. Spróbuj zaznaczyć Ochronę dla dysku C i powiedz jaki ewentualnie błąd się pojawia podczas tej próby. Odczyt z uszkodzonym WMI to osobna sprawa i to będę próbować rozwiązywać, gdy się dowiem czy w ogóle da się zaznaczyć Ochronę. Niestety Avast (podobnie jak i parę innych antywirusów) ma błąd detekcji i klasyfikuje FRST jako "trojana". Problem był zgłaszany wiele razy do ekipy Avast. Niestety oni wykluczali program "po łebkach", tzn. na podstawie sumy kontrolnej MD5, a ta jest unikatowa tylko dla jednej wersji programu i się zmienia z każdą aktualizacją FRST. Czyli problem się ujawnia przy każdej nowej wersji FRST, a te często są wydawane w tempie kilka na tydzień. Autor się wkurzył i chciał nawet wprowadzić mechanizm blokady uruchomienia FRST na systemach z antywirusami Avast i Norton. Na szczęście ten pomysł nie został przeforsowany, bo to oznaczałoby multum problemów w prowadzeniu pomocy.

Logi z przestarzałego OTL nie są tu obowiązkowe i je usuwam. Brak za to obowiązkowego GMER. Temat przenoszę do działu Windows, bo problem zasadniczy to uszkodzenia w Windows, a nie infekcja (takowej tu brak, tylko drobne odpadki po adware). Brak sieci, bo jest uszkodzony łańcuch sieciowy Winsock: Winsock: Missing Catalog5 entry, broken internet access. Akcje do wdrożenia: 1. Pozbądź się tego dziwadła RegCleaner (skąd był pobierany, kto zacz?), który jest aktualnie uruchomiony i produkuje błędy w systemie: Application errors: ================== Error: (07/16/2015 12:57:29 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: RegCleanr.exe, wersja: 4.3.0.780, sygnatura czasowa: 0x2a425e19 Nazwa modułu powodującego błąd: RegCleanr.exe, wersja: 4.3.0.780, sygnatura czasowa: 0x2a425e19 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000849f8 Identyfikator procesu powodującego błąd: 0xd84 Godzina uruchomienia aplikacji powodującej błąd: 0xRegCleanr.exe0 Ścieżka aplikacji powodującej błąd: RegCleanr.exe1 Ścieżka modułu powodującego błąd: RegCleanr.exe2 Identyfikator raportu: RegCleanr.exe3 Pełna nazwa pakietu powodującego błąd: RegCleanr.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: RegCleanr.exe5 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winsock: Missing Catalog5 entry, broken internet access. GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2515682888-3305128835-3166960817-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope value is missing SearchScopes: HKU\S-1-5-21-2515682888-3305128835-3166960817-1002 -> OldSearch URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749&ts=1434920134&type=default&q={searchTerms} BHO-x32: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPlugin.dll No File Toolbar: HKU\S-1-5-21-2515682888-3305128835-3166960817-1002 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-2515682888-3305128835-3166960817-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File CHR HKU\S-1-5-21-2515682888-3305128835-3166960817-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hphehadppenpmajgnkjdcopcfijjegaf] - C:\Program Files (x86)\Jump Flip\hphehadppenpmajgnkjdcopcfijjegaf.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - http://clients2.google.com/service/update2/crx Task: {26A05F85-FF84-46AD-821E-37DFBEFD9DA7} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {2ED3E4E9-9C6B-44E8-98A8-7E8E353885D6} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {5CDFF805-7CCF-48C5-8586-9061DA876B6A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2515682888-3305128835-3166960817-1002UA => C:\Users\Joanna\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {76741B8A-1266-4895-91CC-B9B194501321} - System32\Tasks\MirageAgent => C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe Task: {90BCC850-CC37-46AC-93A2-6CCB5C7A6A4D} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {AA40B134-0EAE-49F7-84CB-7ED0AFC2DFF1} - System32\Tasks\Web Protector Plus Server => C:\Program Files (x86)\WebProtectorPlus\server64\WebProtectorPlusServer.exe Task: {B74EEC48-894E-4D04-A974-3C79F09D4770} - System32\Tasks\Web Protector Plus => C:\Program Files (x86)\WebProtectorPlus\WebProtectorPlus.exe Task: {C4C8907E-1107-400E-8B94-3D5A7A5FFE16} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2515682888-3305128835-3166960817-1002Core => C:\Users\Joanna\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {C8E82452-54A5-4569-BBAA-0F174CE99F26} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {F56229DA-F593-425B-895A-3593C70A1044} - System32\Tasks\{0E76A21E-AD7C-404B-B94D-93B05A6DF0AC} => pcalua.exe -a "C:\Program Files (x86)\MarBit\ALLPlayer\unins000.exe" C:\Program Files\Common Files\AV C:\ProgramData\AVG2015 C:\ProgramData\IHProtectUpDate C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Web Protector Plus C:\Users\Joanna\AppData\Local\Avg C:\Users\Joanna\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Facebook Update" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Google Chrome wygląda na uszkodzone (brak poboru nazw rozszerzeń). Przeinstaluj przeglądarkę: Wyeksportuj zakładki do pliku HTML (o ile potrzebne). Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome - linki w przyklejonym: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź naprawę sieci.

Brak trzeciego pliku FRST Shortcut. W raportach brak oznak czynnej infekcji. A to co wykrył skaner ma nikłe, bądź zerowe znaczenie: - Wyniki z lokalizacji tymczasowych. I tak będą te lokalizacje dokładniej czyszczone. - KMSpico to jest crack aktywacyjny i będzie wykrywane niezależnie od jego rzeczywistej szkodliwości. - Wpis startowy "Chomikbox" sklasyfikowany jako "adware" wygląda na fałszywy alarm. I tak bez znaczenia, bo aplikacja wygląda na odinstalowaną. Pomijając GMER, o jakie błędy chodzi? PS. Do usunięcia tylko drobne puste wpisy + czyszczenie lokalizacji tymczasowych: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj odpadek Avast Online Security. Dodatkowo, jest też rozszerzenie Youtube MP3 Online - rozszerzenie nie jest autoryzowane w Chrome Web Store. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3525526821-3159406207-3434764065-1001\...\Run: [Clownfish] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] S4 WinDivert1.1; No ImagePath S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {188CAC1B-3820-44DD-896F-75BC49B7943E} - System32\Tasks\catalyst => c:\programdata\sunsoft\ccc.exe Task: {8B23DB90-C6B2-450C-89B4-150D7F4591B6} - System32\Tasks\sunsoft => c:\programdata\sunsoft\sunsoft.exe Task: {8C09B1B5-9DBB-4036-8C7C-AF4BCA4F5902} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {E76A3055-99A3-4150-BA49-69674306EBBB} - System32\Tasks\{B3879C64-CC90-4C26-AB98-511D57E7D435} => Firefox.exe http://ui.skype.com/ui/0/7.0.0.102/pl/abandoninstall?source=lightinstaller&page=tsInstall C:\Users\Radosław\AppData\Local\{302983D2-A9C2-435A-A395-B065FE5B9E46} Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są mi potrzebne.

Widać jeden aktywny wpis startowy Baidu, poza tym jednak same szczątkowe / puste wpisy. Akcje do przeprowadzenia: 1. Deinstalacje: - Pytaniem jest czy Rising Antivirus to była celowa instalacja - to także chiński wyrób i wg dat w logu powstał wtedy, gdy inne niepożądane elementy. - Pozbądź się firmowych ASUS-owych zbędników: ASUS WebStorage Sync Agent, Bing Bar, Shared C Run-time for x64 (ten ostatni to szczątek po odinstalowanym McAfee). ASUS WebStorage to program znany z tworzenia błędów explorer.exe. - Odinstaluj też starsze wersje (potem będzie instalacja najnowszych): Adobe Reader XI (11.0.12), Java 7 Update 45, Java 8 Update 45 (64-bit), Java SE Development Kit 8 Update 45 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U2 QQSysMonX64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQSysMonX64.sys [X] S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TSDefenseBT64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCTRAY.EXE" /regrun /qqrepair HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKU\S-1-5-21-3625697315-574066735-3411081838-1001\...\Run: [apphide] => C:\Program Files (x86)\baidu\baidu.exe [61440 2015-06-20] () HKU\S-1-5-21-3625697315-574066735-3411081838-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt64.dll No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll No File FF Plugin: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll No File FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll No File FF Plugin HKU\S-1-5-21-3625697315-574066735-3411081838-1001: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File CustomCLSID: HKU\S-1-5-21-3625697315-574066735-3411081838-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> D:\Autocad\AutoCAD 2015\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-3625697315-574066735-3411081838-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> D:\Autocad\AutoCAD 2015\acad.exe No File CustomCLSID: HKU\S-1-5-21-3625697315-574066735-3411081838-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> D:\Autocad\AutoCAD 2015\pl-PL\acadficn.dll No File Task: {1903686A-82DF-4BF6-9F48-B4A3FD1C32FA} - System32\Tasks\{93676F8E-D262-4403-8682-F1482494E4F6} => pcalua.exe -a "C:\Team17\Worms Armageddon\wa.exe" -d "c:\Team17\Worms Armageddon" Task: {BBC97DBF-3158-4580-9856-6EE7EB9B85D7} - System32\Tasks\{AB774A4A-99AC-48A2-B8F5-28CE0353E177} => pcalua.exe -a C:\Users\Jasiu\Downloads\raidcall_v7.3.6.exe -d C:\Users\Jasiu\Downloads Task: {BDF5EAF1-2D83-462A-B472-7F321D2C77CC} - System32\Tasks\{AC834C79-C1E1-4C87-ADD4-D586D8A7EDB3} => pcalua.exe -a D:\Bwgen\Bwgen.exe -d D:\Bwgen HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service" C:\ppsfile C:\qycache C:\Program Files (x86)\baidu C:\ProgramData\Temp C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\Jasiu\AppData\Local\SysassistByHotWheel C:\Users\Jasiu\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\爱奇艺万能播放器.lnk C:\Users\Jasiu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Jasiu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\爱奇艺万能播放器.lnk C:\Users\Jasiu\AppData\Roaming\ppslog C:\Users\Jasiu\Downloads\*(*)-dp*.* C:\Users\Jasiu\Downloads\Gbooks__1598_i1558290670_il360.exe.zip C:\Users\Jasiu\Downloads\Google Books Downloader Lite.exe C:\Users\Public\QiYi C:\WINDOWS\system32\Drivers\TFsFltX64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v mcpltui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v mcui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v " QQPCTray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_121 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v apphide /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LiveSupport /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan - zaznacz ponowie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy gdzieś jeszcze widać "chińszczyznę".

Brak oznak czynnej infekcji. Dostarcz dodatkowy raport z Farbar Service Scanner.

Victor, logi FRST są bezużyteczne jeśli chodzi o problemy z BIOS - kompletnie inne sfery. I opisywany przypadek to nie jest problem infekcji. Temat przesuwam do działu Hardware. Zasady działu: KLIK.

fir3, w pierwszym poście brak trzeciego obowiązkowego raportu FRST Shortcut. A skoro się pośpieszyłeś i zacząłeś czyścić na własną rękę, to dostarczone logi z FRST są już nieaktualne. Proszę o dostarczenie nowych - wszystkich trzech (FRST.txt, Addition.txt, Shortcut.txt).

Marylka, na przyszłość: proszę dokładniej opisuj o co chodzi z "syfem na kompie", bo logi nie zawsze mogą wszystko pokazać i opis często kieruje na szukanie w miejscach niewidocznych w skanach. Póki co do wykonania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware Search App by Ask oraz stare wersje i zbędnik Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.9), AVG Web TuneUp, Java 8 Update 45, JavaFX 2.1.1. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-3369816969-207793647-2651142573-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dregol.com/?f=1&a=drg_ir_15_19&cd=2XzuyEtN2Y1L1Qzu0EtDtB0AzztBtCtA0CtC0D0BtA0A0CyBtN0D0Tzu0StCtBtByEtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzztD0FyByC0DtAtG0CzzyD0BtG0D0FtCtCtGyEtC0FyDtGyD0EtD0Ezy0E0AzzyEtB0Czz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyBtAtByDtA0BzytG0DtDyByEtGyE0CyEyDtG0AtD0FtBtGtCyC0F0AyEtByEyB0AyDtAyD2QtN0A0LzutB&cr=1874553017&ir= SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://no.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_17&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dno%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1Qzu0EtDtB0AzztBtCtA0CtC0D0BtA0A0CyBtN0D0Tzu0StCtBtDzztN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StA0AyBtB0B0EyE0FtGyBzy0ByEtGtByE0AyDtG0ByDzzyBtGyD0CtDtD0EyEyCyEtBtC0Ezy2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0EtDyEzz0AzzyE0DtG0ByCyCyBtGyE0CtC0CtGzytBtD0AtGtD0ByEzy0FyEyC0AyB0C0AtD2QtN0A0LzutB%26cr%3D1703710940%26a%3Dwny_ir_15_17%26os%3DWindows 7 Home Premium&p={searchTerms} SearchScopes: HKLM -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL = SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://www.dregol.com/results.php?f=4&q={searchTerms}&a=drg_ir_15_19&cd=2XzuyEtN2Y1L1Qzu0EtDtB0AzztBtCtA0CtC0D0BtA0A0CyBtN0D0Tzu0StCtBtByEtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzztD0FyByC0DtAtG0CzzyD0BtG0D0FtCtCtGyEtC0FyDtGyD0EtD0Ezy0E0AzzyEtB0Czz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyBtAtByDtA0BzytG0DtDyByEtGyE0CyEyDtG0AtD0FtBtGtCyC0F0AyEtByEyB0AyDtAyD2QtN0A0LzutB&cr=1874553017&ir= SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {00BC9FD1-74D3-4AC4-B5F8-74C46F5C060D} URL = SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://no.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_17&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dno%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1Qzu0EtDtB0AzztBtCtA0CtC0D0BtA0A0CyBtN0D0Tzu0StCtBtDzztN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StA0AyBtB0B0EyE0FtGyBzy0ByEtGtByE0AyDtG0ByDzzyBtGyD0CtDtD0EyEyCyEtBtC0Ezy2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0EtDyEzz0AzzyE0DtG0ByCyCyBtGyE0CtC0CtGzytBtD0AtGtD0ByEzy0FyEyC0AyB0C0AtD2QtN0A0LzutB%26cr%3D1703710940%26a%3Dwny_ir_15_17%26os%3DWindows 7 Home Premium&p={searchTerms} SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {5888CAF8-7CB6-4761-BFAA-05C37DFDFC1F} URL = http://isearch.avg.com/search?cid={E46A6DB1-EEE9-40DC-8167-76ACB7A8AD05}&mid=80293891b75f47d19697cd8898516b5f-8c651b501602ef2bdeb42579f37b98d17e583b56&lang=en&ds=AVG&pr=fr&d=2011-10-22 16:34:14&v=8.0.0.34&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://www.dregol.com/results.php?f=4&q={searchTerms}&a=drg_ir_15_19&cd=2XzuyEtN2Y1L1Qzu0EtDtB0AzztBtCtA0CtC0D0BtA0A0CyBtN0D0Tzu0StCtBtByEtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzztD0FyByC0DtAtG0CzzyD0BtG0D0FtCtCtGyEtC0FyDtGyD0EtD0Ezy0E0AzzyEtB0Czz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyBtAtByDtA0BzytG0DtDyByEtGyE0CyEyDtG0AtD0FtBtGtCyC0F0AyEtByEyB0AyDtAyD2QtN0A0LzutB&cr=1874553017&ir= SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL = https://mysearch.avg.com/search?cid={BC289C5C-FAE5-4D32-94EE-C4BD32B00FBD}&mid=80293891b75f47d19697cd8898516b5f-8c651b501602ef2bdeb42579f37b98d17e583b56&lang=en&ds=AVG&coid=avgtbavg&cmpid=0415tb&pr=fr&d=2015-03-23 16:37:11&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {E3E3AA5F-A062-42B6-89AE-639AC30A5FCD} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11412&pf=V7&p2=^BBK^OSJ000^YY^NO&gct=&itbv=12.17.1.65&apn_uid=BDF9625C-E30F-4980-957B-1A468747BC5F&apn_ptnrs=BBK&apn_dtid=^OSJ000^YY^NO&apn_dbr=cr_37.0.2062.124&doi=2014-10-04&trgb=CR&q={searchTerms}&psv=&pt=tb BHO-x32: IEExtension.VDownloaderBHO -> {7b523e7c-f096-4e36-a0cb-7efeb5c675c1} -> C:\windows\SysWOW64\mscoree.dll [2010-11-05] (Microsoft Corporation) Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File CustomCLSID: HKU\S-1-5-21-3369816969-207793647-2651142573-1001_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Kaisa Lachcik\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File CustomCLSID: HKU\S-1-5-21-3369816969-207793647-2651142573-1001_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File Task: {07FDE57F-129A-400A-9A53-6210D7A7F44E} - System32\Tasks\{725F7816-F4CE-4E03-8406-BB688B723AE9} => pcalua.exe -a C:\PROGRA~2\RUN_DR~1\\uninstall.exe -c /uninstaller Task: {F465CA69-625E-48DC-BAF0-CACDFF9789F3} - System32\Tasks\Trojan Killer => C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe HKLM-x32\...\Run: [NPSStartup] => [X] S1 lwnfd_1_10_0_14; system32\drivers\lwnfd_1_10_0_14.sys [X] S1 tbfd_1_10_0_15; system32\drivers\tbfd_1_10_0_15.sys [X] C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\AskPartnerNetwork C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Run_Dregol C:\Program Files (x86)\Common Files\ApnStub.exe C:\Program Files (x86)\Common Files\ApnToolbarInstaller.exe C:\Programdata\Google C:\Programdata\Mozilla C:\Users\Kaisa Lachcik\AppData\Local\Google C:\Users\Kaisa Lachcik\AppData\Local\Mozilla C:\Users\Kaisa Lachcik\AppData\Roaming\Mozilla C:\Users\Kaisa Lachcik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Public\AlexaNSISPlugin.1868.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\8063f2dd /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Kaisa Lachcik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy. W skrypcie powyżej usuwam szczątki źle odinstalowanych przeglądarek Google Chrome i Firefox. Ewentualna świeża instalacja którejś z nich potem.

cichy04, najpierw skończymy poprzedni komputer. Dostarcz logi, o które prosiłam, z poprzedniego komputera, bo na razie to żadnego potwierdzenia, że usuwanie się udało. Dopiero gdy skończymy z nim, zajmę się pozostałymi wątkami. PS. I po raz drugi wstawiasz tu plik OTL Extras. Przestarzały OTL nie jest tu brany pod uwagę. Log po raz kolejny usuwam.

Checkdisk skorygował pewne niespójności w strukturze plików. CheckSur nie wykrył błędów. Czy po zaleconych operacjach nadal pojawiają się błędy 80071A91 + 80070643?

W systemie dobrze widoczne obiekty czynnej infekcji. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\Mateusz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [96755264 2015-06-27] (Microsoft Corporation) [File not signed] S3 ALSysIO; \??\C:\Users\Mateusz\AppData\Local\Temp\ALSysIO64.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] HKLM\...\Policies\Explorer\Run: [1597511312] => C:\ProgramData\msrbfyc.exe [84144128 2014-10-29] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-665916194-2271293263-4112161340-1001\...\Policies\Explorer: [NofolderOptions] 0 HKU\S-1-5-21-665916194-2271293263-4112161340-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Mateusz\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.) Task: {DC8CD785-087C-4EED-B279-6904DE65D9F3} - \Program aktualizacji online firmy Adobe. No Task File ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKU\S-1-5-21-665916194-2271293263-4112161340-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-665916194-2271293263-4112161340-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-665916194-2271293263-4112161340-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear FF SelectedSearchEngine: delta-homes FF Plugin-x32: adobe.com/AdobeExManDetect -> D:\Program Files\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll No File C:\Program Files\*.exe C:\ProgramData\msrbfyc.exe C:\Users\Ewa\Desktop\rFactor2.lnk C:\Users\Ewa\Desktop\SopCast.lnk C:\Users\Mateusz\Desktop\rFactor2.lnk C:\Users\Mateusz\Desktop\SopCast.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Mateusz\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Acrobat Assistant 8.0" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Acrobat Speed Launcher" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Logitech . Rejestracja produktu.lnk" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeBridge /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKU\S-1-5-21-665916194-2271293263-4112161340-1001_Classes\CLSID\{0215A4C0-5431-4FD0-9B06-46589B5C4939}\InprocServer32 /s Reg: reg query HKU\S-1-5-21-665916194-2271293263-4112161340-1001_Classes\CLSID\{1E5724EA-3423-4BD3-ABD6-46E650D2DC66}\InprocServer32 /s CMD: type C:\Windows\System32\Tasks\Shutdown CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie multum aktywnych obiektów adware (serwisy / sterowniki). Ponadto, jest tu notowany problem z Przywracaniem systemu, ale tym zajmę się później: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Check "winmgmt" service or repair WMI. Akcje wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 Lhtomj120; C:\Windows\system32\Drivers\Lhtomj120.sys [24696 2015-07-13] () R1 Rymachdi120; C:\Windows\system32\Drivers\Rymachdi120.sys [24184 2015-07-13] () S4 hirjodces; C:\ProgramData\LokeEsul\vamewvoa.exe [188392 2015-07-13] () [File not signed] S4 Nanjeb; C:\ProgramData\LokeEsul\Nanjeb.exe [2075136 2015-07-13] () [File not signed] S4 SilpaPepsu; C:\ProgramData\LokeEsul\RoqkuJabl.exe [255464 2015-07-13] () [File not signed] S2 veuttedbhm; C:\ProgramData\LokeEsul\vameavoa.exe [501224 2015-07-13] () [File not signed] S4 zejytose; C:\Users\Olek\AppData\Roaming\35453035-1436801384-3339-4644-3937FFFFFFFF\jnsbAACE.tmp [199168 2015-07-13] () [File not signed] S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lhtomj120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rymachdi120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Lhtomj120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Nanjeb => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rymachdi120.sys => ""="Driver" HKLM-x32\...\Run: [gmsd_pl_005010031] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3352835992-2200029799-2272378979-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.istartsurf.com/?type=sc&ts=1436951838&z=85350da84dc97d0778a29fag3zdc7qftcw7gabbgaw&from=face&uid=395049983_1052515_6CDD971B CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-06-10] C:\Program Files (x86)\40ea84ae-5fdf-487f-b723-5612bdc177e1 C:\Program Files (x86)\5e7a51f3-1bd9-4eae-aad0-38c415393cca C:\Program Files (x86)\e5b1dbe0-b72f-41cb-9f4d-4aed7fb9881b C:\Program Files (x86)\GUT61FF.tmp C:\ProgramData\LokeEsul C:\Users\Olek\AppData\Local\5465 C:\Users\Olek\AppData\Roaming\35453035-1436801384-3339-4644-3937FFFFFFFF C:\Users\Olek\AppData\Roaming\GoldenGate C:\Windows\hgfs.sys C:\Windows\prleth.sys C:\Windows\system32\Nanjeb64.dll C:\Windows\system32\NanjebOff.ini C:\Windows\system32\Drivers\Lhtomj120.sys C:\Windows\system32\Drivers\Rymachdi120.sys C:\Windows\SysWOW64\Nanjeb.ini C:\Windows\SysWOW64\NanjebOff.ini C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\GroupPolicy\GPT.INI Folder: C:\Program Files (x86)\Windows 7 Activator Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{ADEAC866-F3A5-48FA-8524-DD8AACA666F7} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opera jest zainfekowana adware. - W Operze CTRL+SHIFT+E i z listy rozszerzeń za pomocą iksa odinstaluj: CinemaP-1.9cV13.07, Filter Results. - Ponadto brak obecnie ustawionej domyślnej przeglądarki. W opcjach Opery ustaw ją jako domyślną. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis adware globalupdate Helper > Dalej. 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Olek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Zanetis, proszę się nie dopisywać do cudzych tematów. I brak danych. Proszę dostarczyć raporty z FRST.

Ten skrót na pendrive nie został już znaleziony. Reszta usuwania przeprowadzona pomyślnie. Na zakończenie: 1. Odinstaluj USBFix. Następnie zastosuj DelFix. 2. Infekcja wyłączyła Przywracanie systemu: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do konfiguracji Przywracania: KLIK. Zaznacz Ochronę dla dysku C. 3. Na wszelki wypadek zmień także hasła logowania w serwisach online (bank, poczta, etc).

Otwórz Notatnik i wklej w nim: H:\pendrive (16GB).lnk RemoveDirectory: C:\Program Files (x86)\DriverToolkit RemoveDirectory: C:\Program Files\slimcleaner plus RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\ProgramData\slimware utilities inc RemoveDirectory: C:\Users\Lenovo\AppData\Local\DriverToolkit RemoveDirectory: C:\Users\Lenovo\AppData\Local\FileViewPro RemoveDirectory: C:\Users\Lenovo\AppData\Local\slimware utilities inc RemoveDirectory: C:\Users\Lenovo\AppData\Local\Temp\apn RemoveDirectory: C:\Users\Lenovo\Documents\Probit Software RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\FRST\Quarantine Reg: reg delete HKCU\Software\DriverToolkit /f Reg: reg delete HKCU\Software\PRODUCTSETUP /f Reg: reg delete HKCU\Software\DriverToolkit /f Reg: reg delete HKCU\Software\PRODUCTSETUP /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\IHProtect /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\SupDp /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\SupTab /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} /f Reg: reg delete HKU\.DEFAULT\Software\AskPartnerNetwork /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. Przedstaw go.

Naprawa WMI przeprowadzona pomyślnie i FRST wykrył punkty Przywracania systemu. Na koniec: 1. Usuń używane narzędzia za pomocą DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj stare wersje poniżej wyliczone. Pobieranie najnowszych także w w/w linku. ==================== Installed Programs ====================== Adobe AIR (HKLM\...\Adobe AIR) (Version: 2.5.0.16600 - Adobe Systems Inc.) Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.0.1.152 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Reader 9.5.3 (HKLM\...\{AC76BA86-7AD7-1033-7B44-A95000000001}) (Version: 9.5.3 - Adobe Systems Incorporated)

Ten skrót z pendrive nie chce zniknąć. Ale zanim podejmę kolejną próbę jego usuwania, dostarcz poprawny AdwCleaner. Posługujesz się archaicznym AdwCleaner v3.309 najwyraźniej zachomikowanym na dysku - nie ma sensuprogramu trzymać "na zapas", bo jest tak często aktualizowany. Jest dostępna o wiele nowsza i rzecz jasna wykrywająca o wiele więcej wersja v4.208. Wracaj do przyklejonego, pobierz AdwCleaner i dostarcz nowy log.