picasso

Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu, zaktualizuj Adobe Reader i Java: KLIK.

AdwCleaner znalazł więcej rzeczy. 1. Odinstaluj FileViewPro - AdwCleaner ma do niego zastrzeżenia. Dopiero po jego poprawnej deinstalacji: 2. Uruchom ponownie AdwCleaner, lecz tym razem wybierz opcje Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie: 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Konrad\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Konrad\Downloads\z84dhopw.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Nie wiem czy Avast zareagował dostatecznie wcześnie.

Pendrive też podepnij podczas pobytu w środowisku Kasperskiego - jeśli wykryje urządzenie, wskaż je w skanerze Kasperskiego.

Drobna uwaga: nie używaj opcji "Odpowiedz" zlokalizowanej przy każdym poście, to funkcja cytatu ładująca całą wypowiedź poprzednika (wymazałam ponownie wszystko). Korzystaj z pola szybkiej odpowiedzi na spodzie tematu i opcji "Napisz". Fix do FRST uruchomiłeś dwa razy, dlatego w tym podejściu prawie nic nie wykonał. Skryptu nie wolno uruchomić więcej iż raz (mówią o tym zasady działu). Jeśli jest błąd / zawieszenie, stop i zgłaszasz się na forum z opisem problemu. Pomijając to, wszystko wykonane i drobne poprawki: 1. FRST nie skasował jednego pustego skrótu, pewnie przez to że znak "zastrzeżony" został inaczej zrenderowany. Skasuj sobie już ręcznie: C:\Users\Konrad\Desktop\Priv\Call of Duty® 2 Jeden gracz.lnk 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie używaj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Niestety skan będzie trwał długo, a ilość wykrytych elementów idąca już w tysiące nie wróży dobrze. Wykaż cierpliwość, bo z tego zawirusowanego systemu i tak nie możesz korzystać. Jeśli chodzi o więcej niż jeden "system operacyjny", to Kasperskiemu jest to potrzebne do skanu rejestru (montowanie gałęzi wykrytych systemów). Interesuje Cię tylko system bieżący, a wszystkie partycje dysku i tak trzeba przeskanować.

I właśnie, to log Shortcut pokazuje w czym problem. Adware Omiga zmodyfikowało skróty LNK przeglądarek. Przy okazji będą czyszczone też różne puste wpisy. Akcja do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-3966912182-3999749155-3079340802-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File Toolbar: HKU\S-1-5-21-3966912182-3999749155-3079340802-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt Task: {33BA39D2-F210-4FBF-AFA4-6508AC243E4F} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-3966912182-3999749155-3079340802-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {62DE4D38-E5E1-4CDF-8A88-F073F47AACBB} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-3966912182-3999749155-3079340802-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {E54DD7E5-1B56-4B87-9400-7CFC806B6221} - System32\Tasks\{17C7AE7B-40E1-4B37-BCD6-86566C2C1A49} => pcalua.exe -a C:\Users\Konrad\Downloads\powersetup.exe -d C:\Users\Konrad\Downloads Task: {E73156C8-B1FB-4448-8F87-878ADEF1008E} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-3966912182-3999749155-3079340802-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\recordingmanager.exe HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3966912182-3999749155-3079340802-1000\...\Run: [] => [X] S2 B4-Service; C:\Users\Konrad\Downloads\B4-Service.exe [X] S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] C:\Program Files (x86)\Mozilla Firefox\extensions C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileZilla FTP Client\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake C:\Users\Konrad\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Konrad\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Konrad\Desktop\Priv\Call of Duty® 2 Jeden gracz.lnk C:\Users\Konrad\Desktop\Priv\Hitman - Codename 47.lnk C:\Users\Konrad\Desktop\Priv\Twierdza.lnk C:\Users\Konrad\Documents\Adobe Reader X.lnk C:\Users\Konrad\Documents\Norton Security Scan.lnk C:\Users\Konrad\Documents\TWIST 1.5.lnk C:\Users\Gość\Desktop\Twierdza.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Video Converter Packages" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj odpadkowe rozszerzenie RealNetworks Downloader Extension. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (zaznacz ponownie Shortcut). Dołącz też plik fixlog.txt.

Zestaw obowiązkowych logów FRST niekompletny - brakuje trzeciego pliku Shortcut - dostarcz go.

Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\Windows\Tasks\1014avUpdateInfo.job => C:\ProgramData\Avg_Update_1014av\1014av_AVG-Secure-Search-Update.exe Hosts: C:\ProgramData\Avg_Update_1014av C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\XX\AppData\LocalLow\CertifiedToolbar C:\Users\XX\AppData\Roaming\.minecraft C:\Users\XX\AppData\Roaming\Adetymwu C:\Users\XX\AppData\Roaming\avidemux C:\Users\XX\AppData\Roaming\Audacity C:\Users\XX\AppData\Roaming\Balmora.pl C:\Users\XX\AppData\Roaming\DVD Flick C:\Users\XX\AppData\Roaming\FileZilla C:\Users\XX\AppData\Roaming\com.w3i.FlipToast C:\Users\XX\AppData\Roaming\Gadu-Gadu 10 C:\Users\XX\AppData\Roaming\GoldenGate C:\Users\XX\AppData\Roaming\Igosonne C:\Users\XX\AppData\Roaming\Local Store C:\Users\XX\AppData\Roaming\Mozilla C:\Users\XX\AppData\Roaming\OpenFM C:\Users\XX\AppData\Roaming\Opera C:\Users\XX\AppData\Roaming\SteelSeries C:\Users\XX\AppData\Roaming\Ubkafo C:\Users\XX\AppData\Roaming\wargaming.net C:\Users\XX\AppData\Roaming\WordToPDF C:\Users\XX\AppData\Roaming\Ynehcaac C:\Users\XX\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SteelSeries C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.bmp C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.txt C:\Windows\system32\Drivers\1DF1592B.sys C:\Windows\system32\Drivers\2F6C59A4.sys C:\Windows\system32\Drivers\5EFA3319.sys C:\Windows\system32\Drivers\61C35F4E.sys C:\Windows\system32\Drivers\2F9C5F72.sys CMD: sc config WinDefend start= demand Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKCU\Control Panel\Desktop" Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\XX\AppData\Local CMD: dir /a C:\Users\XX\AppData\LocalLow CMD: dir /a C:\Users\XX\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Jeśli wystąpi jakikolwiek błąd, stop, nie ponawiaj opcji Fix tylko od razu na forum z opisem problemu oraz plikiem fixlog.txt (o ile zostanie nagrany). Jeśli błąd nie wystąpi, kontynuuj do punktów 2 i 3: 2. Do wykonania zaległy punkt z Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PriceDownloader, upewnij się też czy po Avirze nie pozostał obiekt Avira Browser Safety. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (aktywuj ręcznie w opcjach). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, na razie Shortcut zbędny. Dołącz też plik fixlog.txt.

Nimnul to kolejna nazwa kodowa na elementy Ramnit.

Ten pendrive, który jest zainfekowany, nie może być wykorzystany do operacji w stanie obecnym.

Temat przenoszę na czyszczenie z adware do działu diagnostyki infekcji. W systemie działają inwazyjne sterowniki adware grupy Sambreel (pozostawione po niedobrze odinstalowanych Dynamo Combo i Solution Real), są także ślady przekierowań istart.webssearches.com. Dostarczone logi FRST zostały zrobione w nieodpowiednim konteście zalogowanych dwóch kont równolegle (użyłeś Wyloguj lub Przełącz użytkownika, co nie odładowuje poprzednio zalogowanego konta), każde konto musi być sprawdzane i czyszczone z osobna. Działania wstępne: AKCJE Z POZIOMU KONTA Administracja: 1. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface (menedżer pobierania wstawiony przy instalacji AutoCAD) oraz stare dziurawe wersje Adobe Reader X (10.1.13) MUI, Java™ 6 Update 24 (64-bit), Java™ 6 Update 24. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64; C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys [48792 2015-01-25] (StdLib) R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-19] (StdLib) S3 btmaux; system32\DRIVERS\btmaux.sys [X] S2 Update Dynamo Combo; "C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe" [X] S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S2 Util Dynamo Combo; "C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe" [X] S2 Util Solution Real; "C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe" [X] HKU\S-1-5-21-1031725685-881205413-3405888468-1001\...\Policies\Explorer: [] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms} HKU\S-1-5-21-1031725685-881205413-3405888468-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1 HKU\S-1-5-21-1031725685-881205413-3405888468-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms} SearchScopes: HKLM -> {FC83DA11-EF8B-4868-A3E3-3B75A05271C3} URL = http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1031725685-881205413-3405888468-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410286656&from=cvs&uid=ST9500420AS_5VJBHSL1XXXX5VJBHSL1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1031725685-881205413-3405888468-1001 -> {FC83DA11-EF8B-4868-A3E3-3B75A05271C3} URL = C:\Program Files (x86)\Solution Real C:\Program Files (x86)\SupTab C:\ProgramData\IePluginServices C:\Users\Codzienność\AppData\OICE_15_974FA576_32C1D314_1A1F C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony skrót Internet Expplorer. W pasku adresu eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Administracja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Ustaw poprawnie domyślną przeglądarkę, bo obecnie w systemie domyślną jest nieistniejąca Opera: Internet Explorer Version 11 (Default browser: Opera) AKCJE Z POZIOMU KONT Administracja i Codzienność: Zaloguj się po kolei na każde konto z osobna poprzez pełny restart komputera a nie Wyloguj czy Przełącz użytkownika. Na każdym koncie zrób nowy FRST z opcji Scan (z Addition, ale bez Shortcut). Dołącz też plik fixlog.txt.

Kaspersky może także bootować z USB: KLIK.

Logi wskazują, że duża część skryptu FRST się jednak wykonała. Czyli teraz trzeba nanieść poprawki na zastaną sytuację i dokończyć to co się nie wykonało. Na początek zrób tylko to z poziomu Trybu normalnego: Tylko tyle i zawiadom czy się to udało.

Inne tematy są zablokowane, gdyż tu każda sprawa jest rozpatrywana indywidualnie na podstawie konkretów (raporty) i dostosowywana do przypadków, bo są rozmaite warianty wydarzeń. Twoja instrukcja nie działa we wszystkich przypadkach, czasem instalator nie działa, czasem brak deinstalatora, deinstalacja może nie usunąć wszystkiego (zwykle zostają sterowniki Sambreel, msconfig nie listuje sterowników). Na wszelki wypadek dostarcz raporty z FRST.

Jak mówię: FRST jest bezinstalacyjny. Skoro jest problem z uruchomieniem, wejdź w Tryb awaryjny Windows i ponów próbę. I na wszelki wypadek podkreślę: mówimy o opcji Scan a nie Fix.

Verdugo, myśl logicznie. Pobierasz ponownie program i robisz skan wg wytycznych w przyklejonym.

Nie, nie jest bezpieczne wykonywać czynności związane z czułymi danymi, ani logować się - Ramnit jest zdolny wykradać hasła (poświadczenia logowania w bankach, serwisach społecznościowych, FTP, etc.) oraz robić zrzuty ekranu. Poza tym, skoro zakup dysku się odciąga, to jednak nie zwlekaj ani chwili dłużej i natychmiast zrób skan z płyty Kasperskiego (wszystkie partycje!), gdyż im dłużej działa Windows, tym większe szkody. Zapomniałam napisać: nie wolno Ci przekopiować także plików HTM / HTML - to również pliki infekowane przez Ramnit.

Jest niebezpieczeństwo, że wirus "przeskoczy" na kolejny podpięty dysk, jeśli są na nim jakiekolwiek pliki wykonywalne. Najbezpieczniej byłoby zrobić przerzut danych typu zdjęcia, gdy Windows nie jest załadowany. Tzn. wyłączasz komputer, podpinasz dyski, bootujesz płytę Kaspersky Rescue Disk (nie uruchamiasz zainfekowanego Windows!), za pomocą menedżera plików Kasperskiego kopiujesz dane na te dyski, wyłączasz kompa i odpinasz dyski. Oczywiście nie zapomnij sformatować pendrive...

Czy chodzi o to, że nie występuje już autologowanie do tej konkretnej strony, czy o to że kompletnie brak pasującego rekordu (czyli autopodpowiedzi, wypełnienia pól logowania)? - Otwórz plik logins.json (chodzi o ten w kwarantannie FRST) w Notatniku i sprawdź czy w nim w ogóle figuruje adres strony dla której jakoby login był zapisany. - Spróbuj też przekopiować jeszcze plik certyfikatów, czyli cert8.db. - Poza tym, nie wiadomo z jakiej wersji pochodzi poprzedni profil Firefox - mógł być ze starej (poniżej Firefox 32), a w starych wersjach był inny plik związany z hasłami, czyli signons.sqlite. Plik ten został zastąpiony przez logins.json.

W raportach nie widać już żadnych oznak opisywanych adware. Do wykonania będą tylko drobne kosmetyczne zadania, ale to potem. W jaki sposób zmienił się wygląd Facebooka? Opisz / dostarcz zrzut ekranu. Nic tu nie wskazuje na ingerencje infekcji. Opisywane problemy wyglądają na pochodną innego czynnika. Jeśli problem tyczy tylko przeglądarki Google Chrome a nie Firefox i IE, to na początek zrób po prostu reset przeglądarki: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Jeśli chodzi o BSOD, skopiuj na Pulpit folder C:\Windows\Minidump, spakuj do ZIP i umieść na jakimś serwisie hostingowym.

Na początek proszę zaloguj się na to nowe konto Sol (a nie zdefektowany Solskier) i wykonaj zadane punkty 1+2 w moim poście powyżej. Ma to na celu redukcję ofensywnego oprogramowania, które może przeszkodzić dalszym operacjom. Po wykonaniu operacji podam co dalej i jak przekierować konto Solskier na poprzedni katalog.

Wszystko nadal aktualne i kontynuuj wg planu. A ów "MediaPlayerV1alpha" (adware) jest zaplanowany do usunięcia w skrypcie FRST.

Zadanie wykonane do końca. Zostały więc do podmiany jeszcze dwa wystąpienia TSWbPrxy.exe. Nadal szukam tej szczególnej wersji 7.2.7601.16415 komponentu. Jeśli znajdę, dam znać.

Tym razem log z FRST robiłeś mając zalogowane równocześnie oba konta Sol i Solskier. Chodziło o załadowanie tylko jednego z nich. Temat przenoszę do działu Windows pod bardziej dopasowaną nazwą. Nie ma tu żadnych oznak infekcji tego typu, są tylko drobne instalacje adware, ale to nie jest powiązane. Stosowanie ComboFix było zupełnie niezasadne, nie robiłeś tego nawet wg wytycznych bezpieczeństwa (czynne obiekty które mogły spowodować awarię). Natomiast to co jest tu problemem to: 1. Duża ilość równocześnie zainstalowanych antywirusów. Katastrofa! Archaiczny AVG, świeżo doinstalowany Avast pogrążający sprawę jeszcze bardziej, szczątki niepoprawnie odinstalowanego Symantec, stary Sandboxie. Taka kondensacja jest prawdopodobną przyczyną obniżenia wydajności i problemów z połączeniem. Co więcej start systemu mógł zostać zablokowany. 2. Konto Solskier utraciło dostęp i obecnie loguje Cię poprzez profil tymczasowy. Jest tu więc problem tego rodzaju: KLIK. Running from C:\Windows\System32\config\systemprofile\Downloads Loaded Profiles: Solskier & Sol (Available profiles: Solskier & Sol & Guest) ========================= Accounts: ========================== Administrator (S-1-5-21-682935528-494026121-326331953-500 - Administrator - Disabled) Guest (S-1-5-21-682935528-494026121-326331953-501 - Limited - Enabled) => C:\Users\Guest HomeGroupUser$ (S-1-5-21-682935528-494026121-326331953-1005 - Limited - Enabled) Sol (S-1-5-21-682935528-494026121-326331953-1006 - Administrator - Enabled) => C:\Users\Sol.Solskier-PC Solskier (S-1-5-21-682935528-494026121-326331953-1001 - Administrator - Enabled) => C:\Users\TEMP Application errors: ================== Error: (02/03/2015 01:38:57 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: Solskier-PC) Description: Windows cannot load the user's profile but has logged you on with the default profile for the system. DETAIL - Access is denied. Objaśnij które konto jest zasadniczym: Sol, czy Solskier. Na razie pozbądź się procesów i dziurawych niebezpiecznych wersji. Mówiłeś, że jest blokowane instalowanie/usuwanie programów, ale nie wyjaśniłeś w jaki sposób. Musisz być zalogowany na koncie administracyjnym do poniższych czynności, czyli w tym przypadku Sol (nie wygląda na konto naruszone), a nie logowany tymczasowo Solskier, czy limitowany Gość na którym nic się nie da zrobić. 1. Przez Panel sterowania odinstaluj: - Stare wersje i nadwyżkę programów zabezpieczających: Adobe Reader 8.1.2, AVG 9.0, AVG Security Toolbar, Gadu-Gadu 10, Gadu-Gadu 7.7, Java 7 Update 21, Java™ 6 Update 20, Sandboxie 3.72 (32-bit). - Pozycje adware: Ask Toolbar, Browser Manager, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, Vuze_Remote Toolbar, YTD Video Downloader 4.1. Jeśli coś będzie niewidoczne lub zgłosi błąd, omiń i kontynuuj dalej. 2. Przejdź w Tryb awaryjny Windows i zastosuj firmowe usuwacze: AVG Remover, Norton Removal Tool. To wstęp przed przekierowaniem konta na poprzedni katalog. Jak wspominam, muszę wiedzieć które konto jest dla Ciebie zasadniczym.