picasso

Wszystko wykonane. Na zakończenie: 1. Usuń FRST z folderu C:\Users\Szymon\Desktop\Nowy folder (2) oraz GMER z Pobranych. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj poniższe programy i zastąp najnowszymi wersjami: KLIK. ==================== Installed Programs ====================== Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 15.0.0.356 - Adobe Systems Incorporated) Adobe Flash Player 14 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 14.0.0.179 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.239 - Adobe Systems Incorporated) ----> wtyczka dla Internet Explorer Adobe Reader XI (11.0.10) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.10 - Adobe Systems Incorporated) Java 8 Update 31 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation)

Infekcja Sirefef (aka ZeroAccess) jest czynna - sterownik serial.sys nadal zainfekowany (potwierdza to zarówno GMER, jak i FRST). Prócz tego kupa innych śmieci. Akcje wstępne: 1. Uruchom Kaspersky TDSSKiller, zostaw wszystkie akcje w stanie domyślnym (serial.sys musi być ustawiony na Cure a nie Delete - to sterownik systemowy). Zresetuj system w celu zatwierdzenia usuwania. Na dysku C powstanie log z akcji. 2. Zrób nowe raporty z FRST (włącznie z Addition) oraz Farbar Service Scanner. Dołącz też log z TDSSKiller.

Po prostu skopiuj tylko swoje dane, format przecież automatycznie usunie wszystko z urządzenia, w tym folder System Volume Information (utworzony przez Przywracanie systemu).

Zasady działu: KLIK. Na słowo nic tu się nie załatwia, wymagane obowiązkowe logi z FRST i GMER.

Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150509 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150509 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 HKU\S-1-5-21-2030126852-3812474721-3917447742-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150509 HKU\S-1-5-21-2030126852-3812474721-3917447742-1000\Software\Microsoft\Internet Explorer\Main,Start Page Restore = http://isearch.avg.com/?cid={30D4757C-1A9F-4E81-B89E-052C3F0A8F5F}&mid=624e592709e747d084d18965c6f77b90-a3bcec884083189fbe2319d437a293f55a3f7b04&lang=pl&ds=st011&pr=sa&d=2012-10-17 00:02:48&v=11.1.0.7&sap=hp HKU\S-1-5-21-2030126852-3812474721-3917447742-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000 -> {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=US&install_date=20121018&user_guid=C57FCB49214244CAB53E415CC3AE68C5&machine_id=c70db57d294546fd1b71def832dc4216&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2031001FC63C34D6&affID=119357&tsp=4991 SearchScopes: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll No File Toolbar: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File HKU\S-1-5-21-2030126852-3812474721-3917447742-1000\...\Run: [iLivid] => "C:\Users\zibi\AppData\Local\iLivid\iLivid.exe" -autorun HKU\S-1-5-21-2030126852-3812474721-3917447742-1000\...\Run: [PeenyBee] => C:\Users\zibi\AppData\Local\PennyBee\PennyBeeW.exe CustomCLSID: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\zibi\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File Task: {2F0D7694-3F42-40D3-B578-4E43265F5917} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {65A7C468-A85B-413C-B5DE-D76DD5DEF030} - System32\Tasks\{56D9BDA3-E5E9-48DA-AAB3-3EE57AFBC965} => pcalua.exe -a G:\Support\DotNetRedist\dotnetfx.exe -d G:\Support\DotNetRedist Task: {6C41A5F4-308E-4651-8224-A6AA4FECDABC} - System32\Tasks\{15E4C85E-516A-42C7-91F4-CC316496E2B6} => pcalua.exe -a "C:\Program Files (x86)\DVD PixPlay\unins000.exe" Task: {99E79350-8C66-4BE7-92DF-22CDAA7CA85F} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{1B0C630F-0C07-496B-AD4B-BBD7839C18DB}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{1B0C630F-0C07-496B-AD4B-BBD7839C18DB}.exe S3 ALSysIO; \??\C:\Users\zibi\AppData\Local\Temp\ALSysIO64.sys [X] C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD PixPlay C:\Users\zibi\Favorites\GG dysk.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj na czym stoimy.

quleczka Zasady działu na temat użytkowników uprawnionych do pomocy: KLIK. Poza tym, jeśli chcesz zweryfikować czy wszystko usunięte, załóż nowy temat i dostarcz obowiązkowe logi: KLIK. Hius Problem tworzy ten wpis klasy użytkownika: CustomCLSID: HKU\S-1-5-21-3972903673-1391813168-638966357-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\atl.dll (rtrspocfMoa tonooiiCr) Prócz tego są i inne wpisy adware. Akcje do wdrożenia: 1. Odinstaluj zbędnik Akamai NetSession Interface. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3972903673-1391813168-638966357-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\atl.dll (rtrspocfMoa tonooiiCr) R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [125056 2015-06-16] (XTab system) S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MSICDSetup; \??\G:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Task: {91280A4C-14BC-4344-B7AE-CB29E2C25F8E} - System32\Tasks\{08D34113-C0E2-401E-99D4-0D25657C77E0} => pcalua.exe -a C:\Users\Szymon\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe -c /uninstall Task: {BEE406F3-A0C9-4D27-A89D-CF8AC0E97746} - System32\Tasks\{276A7EF5-DF98-4D0F-BB66-3BC992EF7EAC} => pcalua.exe -a C:\Users\Szymon\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt HKU\S-1-5-21-3972903673-1391813168-638966357-1000\...\MountPoints2: {18465afc-f614-11e4-8599-d43d7eb4708a} - J:\LG_PC_Programs.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1423307065&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1423307065&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97&q={searchTerms} SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll [2015-06-16] (Thinknice Co. Limited) BHStartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671 C:\Program Files (x86)\MiuiTab C:\Program Files (x86)\XTab C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\ProgramData\TEMP C:\Windows\system32\Drivers\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3642197454-799934318-2658753277-1001_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\vmstorfltres.dll (rtrspocfMoa tonooiiCr) Task: {4942C3D8-7FF1-4218-85C9-02398D7D3FFA} - System32\Tasks\{5B25EDD2-9673-4278-A289-8EC7812A1655} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{809D7E6D-915D-4EAD-821F-E13D93F37161} /l1033 Task: {5382EC81-792C-408D-BD59-FE0A7D3F7E19} - System32\Tasks\{A9C6819C-125C-4363-AAB6-F5D2C0659951} => pcalua.exe -a K:\setup.exe -d K:\ Task: {6B66A13A-F85D-4ECE-AC0D-BF6752C3B88D} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe Task: {B2FB3EAD-5850-4B86-9CAC-2E7BA31DF7CF} - System32\Tasks\{F9A8D1FE-E139-4F1E-B729-F7AA51B195A2} => pcalua.exe -a "G:\Solid\Solid 2013 x64\setup.exe" -d "G:\Solid\Solid 2013 x64" Task: {B7E33B4C-DA47-415C-A0E6-5F152C7A71FE} - System32\Tasks\{B9C33EBB-A747-4276-A54E-1913543764AA} => pcalua.exe -a "C:\Users\CAD Create\Downloads\SYCODE.STEP.Import.for.SketchUp.v1.0-NoPE\n-isteps\SYCODE.STEP.Import.for.SketchUp.v1.0-NoPE\setup\step_import_su.exe" -d "C:\Users\CAD Create\Downloads\SYCODE.STEP.Import.for.SketchUp.v1.0-NoPE\n-isteps\SYCODE.STEP.Import.for.SketchUp.v1.0-NoPE\setup" S3 gdrv; \??\C:\Windows\gdrv.sys [X] U2 Remote Solver for Flow Simulation 2013; No ImagePath U2 Remote Solver for Flow Simulation 2014; No ImagePath HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-3642197454-799934318-2658753277-1001\...\Run: [Galileo] => C:\Users\CAD Create\AppData\Local\Galileo\galileo.exe silent HKU\S-1-5-21-3642197454-799934318-2658753277-1001\...\Run: [KiesAirMessage] => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup HKU\S-1-5-21-3642197454-799934318-2658753277-1001\...\Run: [infor Organizer] => "C:\Program Files (x86)\Infor PL\Infor Organizer\Infor.Organizer.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3642197454-799934318-2658753277-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.claro-search.com/?affID=116677&tt=5012_5&babsrc=HP_ss&mntrId=8ee7db390000000000006cf0490d6477 SearchScopes: HKU\S-1-5-21-3642197454-799934318-2658753277-1001 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.claro-search.com/?q={searchTerms}&affID=116677&tt=5012_5&babsrc=SP_ss&mntrId=8ee7db390000000000006cf0490d6477 SearchScopes: HKU\S-1-5-21-3642197454-799934318-2658753277-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.claro-search.com/?q={searchTerms}&affID=116677&tt=5012_5&babsrc=SP_ss&mntrId=8ee7db390000000000006cf0490d6477 SearchScopes: HKU\S-1-5-21-3642197454-799934318-2658753277-1001 -> {32BEBF68-42E3-4585-890E-F26575E4AA3A} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=302398&p={searchTerms} SearchScopes: HKU\S-1-5-21-3642197454-799934318-2658753277-1001 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\ProgramData\TEMP C:\Program Files (x86)\Mozilla Firefox\extensions C:\Users\CAD Create\AppData\Local\Google\Chrome\User Data\Default\Preferences CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz 3. Zrób nowy log FRST z opcji Scan - zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił.

Temat przenoszę do działu Windows. Wprawdzie są widoczne szczątki adware, ale to nie jest przyczyna problemów. W spoilerze instrukcje doczyszczania owych szczątków, to operacje podrzędne bez wpływu na wydajność: Sugestie: 1. Pierwszy podejrzany w takich przypadkach to oprogramowanie zabezpieczające, tu: Avast + COMODO Firewall (zwłaszcza ten drugi). Testowo odinstaluj po jednym na raz, sprawdzając rezultaty. Przy okazji pozbądź się też zbędnika instalowanego z COMODO: GeekBuddy. 2. Za pomocą Autoruns możesz też wyłączyć niekrytyczne wpisy ze startu: ----> w karcie Logon odfajkuj: HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [96056 2015-03-15] (Hewlett-Packard) HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2015-05-21] (Apple Inc.) HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2015-05-21] (Apple Inc.) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [334896 2015-06-12] (Oracle Corporation) HKU\S-1-5-21-3255530928-2953786320-3396913312-1000\...\Run: [Overwolf] => C:\Program Files (x86)\Overwolf\Overwolf.exe [41200 2015-06-25] (Overwolf LTD) ----> W karcie Scheduled Tasks odfajkuj obiekty: Adobe, Google, HPCustParticipation HP Deskjet 2510 series, Lenovo Customer Feedback Program, Overwolf, Opera. Po akcji zresetuj system, by sprawdzić czy są efekty. 3. Jest też stosunkowo mało wolnego miejsca na dysku, co także może mieć znaczenie pod kątem spowolnienia: ==================== Drives ================================ Drive c: () (Fixed) (Total:74.53 GB) (Free:9.09 GB) NTFS

Tu nie ma co analizować logów pod kątem infekcji - golusieńkie, Windows świeżo po instalacji. Dziennik zdarzeń notuje uszkodzenie konta użytkownika, co wyjaśnia wszystkie opisane problemy: Application errors: ================== Error: (06/30/2015 04:41:21 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nie można odnaleźć określonego pliku. Klaruje się więc założenie nowego konta, bądź nawet postawienie systemu na nowo - błędów dużo więcej w Dzienniku, na dodatek opisujesz, że zatoczyłeś pełne koło: Skoro powyższy stan dewastacji to jest sytuacja po ponownym postawieniu systemu, na dodatek SFC także już ma zastrzeżenia, to problem wygląda na mający podłoże sprzętowe - uszkodzewnia pachną problemem z dyskiem. Temat przenoszę do działu Hardware na dalszą diagnostykę - dostarcz dane wymagane działem: KLIK.

Temat przenoszę do działu Windows. Nie jest to problem infekcji. Nie rozumiem dlaczego uruchomiłeś ComboFix (mimo ostrzeżeń na forum) i to już po zrobieniu raportów z nieinwazyjnego FRST, które m.in. po to są sprawdzane, by wykluczyć uruchamianie ComboFix. ComboFix użyty niepotrzebnie. Instalując skanery doprowadziłeś do katastrofalnego układu - równoległe działają procesy i sterowniki ESET Smart Security + Kaspersky Anti-Virus. Taki zestaw może doprowadzić nawet do blokady startu. Zacznij od redukcji instalacji. Dodatkowo odinstaluj też AVG Web TuneUp. PS. Po przeprowadzeniu deinstalacji kosmetyka i drobnostki do wykonania (usunięcie wpisów szczątkowych). Otwórz Notatnik i wklej w nim: S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] S3 rtsuvc; system32\DRIVERS\rtsuvc.sys [X] Task: {0888DCEB-AF87-4377-A6E5-F5D22443C492} - System32\Tasks\0814avUpdateInfo => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe Task: {679E26E5-8CB0-493F-A758-D6BA988B3CC1} - System32\Tasks\mcleaner => C:\Users\Kuba\AppData\Roaming\4C9B.tmp.exe Task: {EC70056E-548F-4F44-BF6E-2F2F19B6324E} - System32\Tasks\{ABB18ED9-F236-402D-B224-89DDC41F2EE6} => pcalua.exe -a D:\TWEE_Upgrade.exe -d D:\ HKU\S-1-5-21-3160247180-4210161264-933964749-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com?cid={BDA19891-564A-4DBF-BE1A-B13DE6BB238E}&mid=e406d05991f547d2a330d18b80eab585-2c28e8520ca63e7829754cea03b43083786c50b5&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-12 22:33:37&v=4.1.0.411&pid=wtu&sg=&sap=hp C:\Program Files (x86)\Mozilla Firefox\distribution Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. + Takie zielone tło kojarzy się z akceleracją sprzętową. Na razie jednak wątek zostawiam, bo przy w/w układzie spodziewane problemy z wydajnością. Jeśli po redukcji koszmaru nadmiaru programów zabezpieczających nadal będą występować problemy, może być tu też i wątek sprzętowy (objawiony już w postaci autoresetów) i temat wtedy wyemigruje do działu Hardware na dalszą dsiagnostykę.

Plik F:\AUTORUN.INF nie dał się usunąć. Na tym pendrive nie ma za wiele danych - proponuję skopiować swoje ważne dane, a następnie sformatować urządzenie.

AdwCleaner nie wskazuje, by usuwał coś powiązanego z tym Facebookowym malware. W logach FRST oznak czynnej infekcji brak, tylko polityki blokujące Google Chrome. Jeśli chodzi o powolny i zawieszający się system, jest tu makabreska w postaci czynnych równocześnie sterowników Avast + AVG 2013. Avast nie został poprawnie odinstalowany. Działania do wykonania: 1. Deinstalacje: - Przejdź w Tryb awaryjny Windows i zastosuj Avast Uninstall Utility. - Opuść Tryb awaryjny i odinstaluj tradycyjnie przez Panel sterowania stare wersje Adobe Reader 9.3, AVG, Java 7 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2142848797-1288730675-1259261558-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2142848797-1288730675-1259261558-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-2142848797-1288730675-1259261558-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear Toolbar: HKLM - avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF S2 avast! Antivirus; "C:\Program Files\AVAST Software\Avast\AvastSvc.exe" [X] S3 FUTUREX; \??\C:\Program Files\AIDA32 - Enterprise System Information\aida32.sys [X] Task: {4CF4A269-48D2-49AA-AE9B-31AE7228606E} - System32\Tasks\{D74D2581-69BC-44B1-8808-19FA0AC407E7} => Firefox.exe Task: {7EC4643E-9779-44FE-823C-26138681FE00} - System32\Tasks\{4584820B-B919-4F75-9B07-63EFA2BFE678} => Firefox.exe Task: {C0A7C676-90F3-4A3D-8257-C81C2E5B1636} - System32\Tasks\{D638BBFD-6D5E-4AA2-9C29-A6A49CE6EAAC} => Firefox.exe Task: {FF9DF52B-E8A0-4C77-BDDB-09BE90819CAA} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition (Shortcut już zbędny). Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy.

W raportach widać tylko polityki blokujące Google Chrome, ale nic więcej. Jeśli przekierowania występują tylko w Google Chrome, to prócz owych polityk jedno z dwóch tu występuje: zmodyfikowane pliki Google Chrome przez infekcję, lub log FRST nie pokazuje wszystkich rozszerzeń (są takie, które w preferencjach podają "pustą ścieżkę", ale są ładowane). Logi pochodzą sprzed prawie miesiąca, na wszelki wypadek zrób nowe raporty FRST.

Logi z przestarzałego OTL nie są tu obowiązkowe - usuwam. Brakuje za to trzeciego obowiązkowego raportu FRST Shortcut. Widzę tu jeden szkodliwy wpis CustomCLSID i powiązane foldery na dysku. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1740114911-785093284-708989120-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\shsetup.dll (Microsoft Corporation) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4} C:\Users\Pamela\AppData\Roaming\34FC36FA EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan - zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są detekcje URL:Mal.

Jest tu widoczny jeden szkodnik w CustomCLSID i powiązane foldery na dysku, Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1317218049-2942288360-2257388386-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\fwcfg.dll (poctifiCtarroronM oso) Task: {54BE5004-1DA7-4FD4-99E2-363DBBABC2C4} - System32\Tasks\{28F4C1DB-2834-4EC2-8289-33C7943A0DE6} => W:\1602.exe Task: {5AD4BDD5-02BB-46A8-82FE-E6FB5AC174CD} - System32\Tasks\{9BF58081-F93F-4F9A-BC1F-C6AFE280B535} => W:\1602.exe Task: {5EFDBADC-D464-4D7B-8091-DB8891280AFC} - System32\Tasks\{9A96E561-ACAE-42FD-BBC4-99734C3C7975} => W:\Anno1602\1602.exe Task: {B189A341-0F0A-4CF0-8054-5F998D5A36EF} - System32\Tasks\{30A68905-9A1C-4B27-983E-1A0902CA1732} => W:\Anno1602\1602.exe Task: {C475D94A-7339-42DB-9B35-F4766BA51E1E} - System32\Tasks\{06433C43-285A-4140-82FC-379A7EB9E902} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=7.0.0.102&LastError=12007 Task: {F92974D0-39AC-4A85-BFC8-EC1985714FB5} - System32\Tasks\{E756FDA0-6644-414D-9AA0-41A3D111D567} => D:\Gry\Gauntlet\binaries\gauntlet.exe HKLM\...\Run: [NetWorx] => "C:\Program Files\NetWorx\networx.exe" /auto HKU\S-1-5-21-1317218049-2942288360-2257388386-1000\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-1317218049-2942288360-2257388386-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-1317218049-2942288360-2257388386-1000\...\RunOnce: [Adobe Speed Launcher] => 1435689862 HKU\S-1-5-21-1317218049-2942288360-2257388386-1000\...\Policies\Explorer: [] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\Users\Szymon\AppData\Roaming\480D35BE C:\Users\Szymon\Downloads\Niepotwierdzony*.crdownload Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Bez raportów nie ma na razie o czym dyskutować. Czekam więc na raporty z FRST i GMER.

Deinstalacją nic nie zdziałałeś w tej kwestii. Oto pierwszy log FRST pokazujący co było, gdy Firefox był zainstalowany (jak mówiłam: nic zdrożnego): Sytuacja z drugiego raportu po deinstalacji Firefox: To co zostało na dysku to cały profil przeglądarki z wszystkim co było poprzednio. Deinstalacja nie usuwa także kluczy Mozilla z rozszerzeniami oraz MozillaPlugins z wtyczkami. Prawie nic się nie znieniło, a "prawie", gdyż zniknął tylko folder C:\Program Files (x86)\Mozilla Firefox\extensions. Ale on nie został zlikwidowany przez deinstalację tylko mój skrypt FRST. Usuwam tę lokalizację, bo od wersji Firefox 21 nie jest ona już interpretowana (o ile nie zrobi się myku w preferencjach), zamiast niej jest odczyt z C:\Program Files (x86)\Mozilla Firefox\browser\extensions. Mnie chodzi o to, iż po deinstalacji Firefox (czyli usunięciu kluczy HKCU związanych z Firefox ustawionym jako domyślnym) powinien się pojawić odczyt, że domyślną przeglądarką jest IE11 (pobór danych z kluczy HKLM). To się tu nie stało, toteż sprawdzam na wszelki wypadek dane - podobny scenariusz do Twojego już był na forum i w tamtym przypadku była dewastacja w rejestrze.

Na pendrive widać tylko ten wspominany plik autorun.inf - on prawdopodobnie jest zablokowany przez Nortona, dlatego figuruje jako "zero bajtów". Przeprowadź następującą operację przy podpiętym urządzeniu: Otwórz Notatnik i wklej w nim: F:\AUTORUN.INF BHO: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File Task: {1EF554BA-0D7A-41C1-83F6-D0B4D3EAB140} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe Task: {C23E6905-9BAC-442B-A6F3-3EFFAA29BC3B} - System32\Tasks\{5BB0C49F-0F3F-4D37-91E9-F67512A0C7A6} => pcalua.exe -a C:\SWSetup\SP66873\Setup.exe -d C:\SWSetup\SP66873 Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files\DriverToolkit\DriverToolkit.exe S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (Norton nieaktywny). Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Na zakończenie: 1. Usuń używane narzędzia z folderu D:\download\anty. Następnie popraw za pomocą DelFix. 2. Na wszelki wypadek pozmieniaj hasła logowania w serwisach internetowych (np. banki, poczta). 3. Jeśli chodzi o dobór antywirusa, wedle własnych preferencji i umiejętności obsługi interfejsu. Nie promuję określonej marki piastując przekonanie, że dowolny wybór użytkownika z wiodących marek (byle nie niszowe mało znane rozwiązania) będzie w porządku.

Na początek pytanie: jaki był powód deinstalacji Firefox? W pierwszym logu przeglądarka figuruje jako zainstalowana i skan nie wykazał naruszeń w Firefox. 1. Czy jest włączony UAC? Panel sterowania > Konta użytkowników i filtr rodzinny > Konta użytkowników > Zmień ustawienia funkcji Kontrola konta użytkownika > ustaw poziom Domyślny (trzeci "ząbek" licząc od dołu) i zresetuj system. Podaj czy pytania o hasło nadal występują. 2. Log z FRST notuje także brak domyślnej przeglądarki, co może świadczyć i o tym, że są uszkodzone wpisy globalne HKLM w rejestrze. Pobieram dane o nich w poniższym skrypcie FRST. Internet Explorer Version 11 (Default browser not detected!) Infekcja pomyślnie usunięta, będą jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: ProxyServer: [s-1-5-21-240840061-2717004978-97619909-1000] => 127.0.0.1:9881 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\Spacekace RemoveDirectory: C:\Users\Jarek76\Desktop\Stare dane programu Firefox Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg query HKCU\Software\Classes Reg: reg query HKCU\Software\Classes\.htm /s Reg: reg query HKCU\Software\Classes\.html /s Reg: reg query HKCU\Software\Classes\.shtml /s Reg: reg query HKCU\Software\Classes\.webm /s Reg: reg query HKCU\Software\Classes\.xht /s Reg: reg query HKCU\Software\Classes\.xhtml /s Reg: reg query HKCU\Software\Classes\ftp /s Reg: reg query HKCU\Software\Classes\http /s Reg: reg query HKCU\Software\Classes\https /s Reg: reg query HKCU\Software\Clients\StartMenuInternet /s Reg: reg query HKLM\SOFTWARE\Classes\.htm /s Reg: reg query HKLM\SOFTWARE\Classes\.html /s Reg: reg query HKLM\SOFTWARE\Classes\.shtml /s Reg: reg query HKLM\SOFTWARE\Classes\.webm /s Reg: reg query HKLM\SOFTWARE\Classes\.xht /s Reg: reg query HKLM\SOFTWARE\Classes\.xhtml /s Reg: reg query HKLM\SOFTWARE\Classes\ftp /s Reg: reg query HKLM\SOFTWARE\Classes\http /s Reg: reg query HKLM\SOFTWARE\Classes\https /s Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wszystko zdaje się być w porządku. Potwierdź mi jeszcze, że wbudowany w systemem Windows Defender jest sprawny i się uruchamia. I na koniec: 1. Usuń używane narzędzia za pomocą DelFix. 2. Na wszelki wypadek pozmieniaj hasła logowania w ważnych serwisach (bank, poczta, etc.).

Zapomniałam dodać poprzednio: blokowanie FRST przez Nortona to norma, nie powiązana z infekcją, dlatego w instrukcjach jest zalecenie deaktywacji programów tego typu przed próbą uruchomienia FRST. Logi: Nic tu nie wskazuje, by system został zainfekowany z pendrive. Tak więc teraz należy sprawdzić co jest na pendrive. Rozumiem, że jest on teraz podpięty i widoczny pod literą F: Drive f: (USB DISK) (Removable) (Total:14.92 GB) (Free:12.1 GB) FAT32 Dodaj log z USBFix z opcji Listing zrobiony podczas gdy urządzenie jest dostępne.

Infekcja została pomyślnie usunięta. Kolejne kroki: 1. Przywracanie systemu zostało wyłączone (prawdopodobnie przez infekcję): ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do interfejsu konfiguracji Przywracania: KLIK. Zaznacz Ochronę dla systemowego dysku C. 2. Dodaj też log z Farbar Service Scanner.

Rzeczywiście, Firefox nie figurował na liście zainstalowanych. Zmyliło mnie to raptowne ujawnienie się profilu FF, którego w pierwszym logu nie było. Komponenty Firefox zostaną usunięte ręcznie w skrypcie FRST. Rozumiem, że to wystąpiło dopiero po infekcji? Może infekcja zmieniła uprawnienia którejś ze ścieżek dostępu. Będę to sprawdzać w poniższym skrypcie. Z którego skrótu uruchamiasz Google Chrome - jeden z poniższych z Pulpitu, czy z innego miejsca? C:\Users\DOM\Desktop\chrome — skrót.lnk C:\Users\Public\Desktop\Google Chrome.lnk Jakie są ustawienia w: Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Wydajność > Ustawienia? Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\Users\DOM\AppData\Local\Mozilla C:\Users\DOM\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f ListPermissions: C:\Program Files (x86)\Google ListPermissions: C:\Program Files (x86)\Google\Chrome ListPermissions: C:\Program Files (x86)\Google\Chrome\Application ListPermissions: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe ListPermissions: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome ListPermissions: C:\Users\DOM\AppData\Local\Google ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome\User Data ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome\User Data\Default ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk ListPermissions: C:\Users\DOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk ListPermissions: C:\Users\DOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk ListPermissions: C:\Users\DOM\Desktop\chrome — skrót.lnk ListPermissions: C:\Users\Public\Desktop\Google Chrome.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

W instrukcji zapisu raportu GMER jest napisane, iż należy raport zapisać opcją Kopiuj. Jeśli raport zapisałeś za pomocą opcji Zapisz, powstał plik o rozszerzeniu *.LOG niedopuszczalny w załącznikach. W tej sytuacji należy zmienić ręcznie nazwę rozszerzenia na *.TXT lub zapisać raport do nowego pliku TXT. Druga sprawa: raporty FRST zostały dołączone z biblioteki medialnej z zasobu użytego prawdopodobnie w innym temacie (dlatego przestały się wyświetlać po usunięciu przez mnie odnośników) - nie zostały logi FRST w ogóle załadowane w tym temacie. Ponownie je wstaw - tu w temacie.