picasso

Adware Faster Light 1.0.1 zostało pomyślnie usunięte. Teraz sprawdź czy nadal jest problem z pobraniem i uruchomieniem narzędzia Fix-it Microsoftu.

Usuń FRST z D:\Pobrane. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i uzupełnij brakujące wtyczki Adobe/Java: KLIK. To wszystko.

Podstawowy szkodnik usunięty. Drobne poboczne poprawki w Firefox zostały. Przez zamkniętym Firefox: 1. Otwórz w Notatniku do edycji plik: C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\prefs.js Z pliku wytnij te linie (odpadki po adware + odinstalowanych rozszerzeniach / stare preferencje sprzed aktualizacji): user_pref("browser.search.defaultthis.engineName", "IsoBuster Customized Web Search"); user_pref("browser.search.useDBForOrder", true); user_pref("extensions.enabledItems", "{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.2,{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18,{20a82645-c095-46ed-80e3-08825760534b}:0.0.0,jqs@sun.com:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.13"); user_pref("extensions.youtubemp3podcaster@jeremy.d.gregorio.com.addonVersion", "2.4.4"); user_pref("extensions.{20a82645-c095-46ed-80e3-08825760534b}.install-event-fired", true); user_pref("extensions.{B5EDFBB0-9827-11DA-A72B-0800200C9A66}.install-event-fired", true); user_pref("extensions.{bc03d92d-9a29-4663-a16b-26fb5538975c}.install-event-fired", true); user_pref("extentions.webcake.defaultEnableAppsList", "layers/banner,layers/inline,layers/search,layers/shopping,newOffers/wc"); user_pref("extentions.webcake.installId", "26111b9f-f7d9-43de-ad83-9f421b05ca3b"); user_pref("fireuploader.counter", "1"); user_pref("fireuploader.dropcounter", "0"); user_pref("fireuploader.identifier", "{4dbb5a99-ff6f-4ba3-8662-9043943d779f}"); user_pref("fireuploader.localdir", "C:\\Documents and Settings\\Koki"); user_pref("fireuploader.prefVersion", "0.3.8"); user_pref("fireuploader.processInterval", "604800000"); user_pref("fireuploader.showInitPanel", "0"); user_pref("fireuploader.timestamp", "1231693805186"); user_pref("forecastfox.cc.cache", "linkscache-Koki.xml"); user_pref("forecastfox.cc.last", "1215451792102"); user_pref("forecastfox.dayf.cache", "linkscache-Koki.xml"); user_pref("forecastfox.dayf.last", "1215451792102"); user_pref("forecastfox.general.locid", "PLXX0036"); user_pref("forecastfox.links.cache", "linkscache-Koki.xml"); user_pref("forecastfox.links.last", "1215451792102"); user_pref("forecastfox.migrated", "0.7"); user_pref("forecastfox.profile.current", "Koki"); 2. Skasuj plik: C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\user.js

Infekcja definitywnie się tu uruchamia w systemie - wielokrotny wpis uruchamiający skrypt Chrome.VBE. Operacje będą podzielone na dwa etapy, gdyż urządzenie pendrive musi być czyszczone z osobna. Działania wstępne: 1. Odinstaluj zbędnik AVG SafeGuard toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamil\AppData\Local\Temp\Chrome.VBE" HKU\S-1-5-21-3957041923-2222250137-705892869-1000\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamil\AppData\Local\Temp\Chrome.VBE" Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.VBE () Toolbar: HKU\S-1-5-21-3957041923-2222250137-705892869-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File S3 cleanhlp; \??\C:\Program Files\Ashampoo\Ashampoo Anti-Virus\cleanhlp64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" Task: {1A1E5C66-2CA5-4102-A7F4-2E26DB453DBB} - System32\Tasks\e-pity2013_styczen => F:\Saved Games\e-pity2013\Assets\signxml.exe Task: {239A77A4-25EC-4C7A-9F1E-020F71467B6B} - System32\Tasks\e-pity2013_kwiecien => F:\Saved Games\e-pity2013\Assets\signxml.exe Task: {A65A23A3-6FCB-4D7D-BD06-7347EF48789D} - System32\Tasks\{481F9C9E-8C8D-4143-8600-F4C7AEF09CA3} => pcalua.exe -a "C:\Users\Kamil\Desktop\Riva Tuner\RivaTuner224.exe" -d "C:\Users\Kamil\Desktop\Riva Tuner" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Aktywator C:\Program Files (x86)\mozilla firefox C:\Users\Kamil\AppData\Roaming\mozilla C:\Windows\system32\Drivers\26ED58AC.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt.

1. Nie wykonałaś podstawowego zadania usuwającego infekcję i to do zrobienia: 2. Otwórz Notatnik i wklej w nim: URLSearchHook: HKU\S-1-5-21-1343024091-1336601894-839522115-1003 - BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - C:\Program Files\BitTorrentControl_v12\prxtbBit0.dll No File BHO: BitTorrentControl_v12 Toolbar -> {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} -> C:\Program Files\BitTorrentControl_v12\prxtbBit0.dll No File Toolbar: HKLM - BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - C:\Program Files\BitTorrentControl_v12\prxtbBit0.dll No File Toolbar: HKU\S-1-5-21-1343024091-1336601894-839522115-1003 -> BitTorrentControl_v12 Toolbar - {B6AC5E3C-5CEB-4E72-B451-F0E1BA983C14} - C:\Program Files\BitTorrentControl_v12\prxtbBit0.dll No File S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Doącz też fixlog.txt.

Raport obowiązkowy dołączany do każdej prośby o pomoc Farbar Recovery Scan Tool (FRST) Platforma: Windows XP do Windows 11 32-bit i 64-bit Strona domowa Autoryzowany polski tutorial obsługi (dla osób prowadzących pomoc) Pobierz wersję dla systemów 32-bit: Pobierz Pobierz wersję dla systemów 64-bit: Pobierz FRST ma system filtrowania dostosowany do określonych warunków. Na niektórych systemach filtrowanie nie będzie poprawne (widoczność wielu wpisów MS lub fałszywe "uszkodzenia" / "nieprawidłowości"): - Platformy serwerowe Windows 2003, Windows 2008, Windows 2012. - Modyfikowane systemy XP z atypową ścieżką do katalogu Windows taką jak np. C:\WINXP, C:\WINNT i podobne (zamiast C:\WINDOWS). - FRST nie jest kompatybilny z XP 64-bit (brak detekcji procesów). Niezależnie od powyższych FRST uruchamia się na tych systemach i log narzędzia dostarczy wystarczającą ilość informacji do analizy wstępnej. Farbar Recovery Scan Tool (FRST) - Narzędzie może pracować w dwóch trybach, spod Windows oraz z poziomu środowiska zewnętrznego RE. Obecnie jest to główne narzędzie diagnostyczne stosowane na forum zastępujące wcześniej używany OTL. Jego przewagą nad nierozwijanym OTL jest natywne wsparcie systemów x64, poprawna detekcja i filtrowanie wpisów Windows 8/10, detekcja podpisów cyfrowych plików, obsługa Harmonogramu zadań systemów Vista i nowszych, skan przeglądarek Microsoft Edge i Opera, oraz ogólnie szerszy zakres skanów. FRST ma wbudowane różne tłumaczenia językowe, w tym polskie mojego autorstwa. W zależności od wykrytego natywnego języka systemu interfejs zostanie przedstawiony w tym języku. INSTRUKCJA URUCHOMIENIA SPOD WINDOWS: Pobieranie i uruchomienie FRST mogą blokować antywirusy oraz malware. W przypadku problemów skorzystaj z instrukcji: Gdy nie można uruchomić narzędzi. Proszę także nie umieszczać FRST w folderze C:\FRST, wszystkie pliki wykonywalne są automatycznie usuwane z tego folderu. 1. Pobraną aplikację należy uruchomić z dwukliku. Windows 8/8.1 i nowsze: Na tych systemach pojawi się komunikat Windows SmartScreen blokujący uruchomienie. Należy rozwinąć komunikat klikając w link Więcej informacji i wybrać Uruchom mimo to: Na systemach Vista i nowszych wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Zgłosi się klauzula użytkowa, którą należy potwierdzić: 3. Program rozpocznie wykonywanie kopii rejestru ("Backing up registry..."), proszę czekać dopóki ten proces nie zostanie ukończony. Kopia rejestru jest tworzona tylko podczas pierwszego uruchomienia, kolejne starty programu nie nadpisują jej. 4. FRST posiada funkcję autoaktualizacji. Jeżeli jest dostępna nowsza wersja, program ją pobierze, samoczynnie się zamknie i uruchomi ponownie. Stara kopia FRST jest przesuwana do folderu FRST-OlderVersion zlokalizowanego w tym samym katalogu skąd uruchamiano FRST. 5. Pojawi się status Narzędzie jest gotowe do pracy (The tool is ready to use). Należy skonfigurować jak na obrazku: W sekcji Filtrowanie (Whitelist) wszystkie opcje zaznaczone. W sekcji Skan opcjonalny (Optional Scan) zaznaczona opcja Addition.txt oraz Shortcut.txt. Proszę nie zaznaczać opcji "Lista BCD" (List BCD), "SigCheckExt" i "Pliki z 90 dni" (90 Days Files). 6. Skanowanie właściwie jest rozpoczynane przyciskiem Skanuj (Scan). Przycisk zmienia się w Skanowanie (Scanning). Postęp skanowania jest obrazowany dynamicznym paskiem postępu i zmieniającymi się ścieżkami. Proszę cierpliwie czekać. 7. Ukończenie skanowania jest sygnalizowane stosownym komunikatem, dla każdego raportu po kolei. Zatwierdzenie tych komunikatów automatycznie otwiera w Notatniku raporty: FRST.txt, Addition.txt oraz Shortcut.txt. Są zlokalizowane na dysku w tym samym katalogu, z którego uruchamiano FRST. Wszystkie trzy proszę załączyć w poście. Proszę nie wyciągać logów z folderu C:\FRST\Logs - to archiwum, bieżące logi są w folderze z którego uruchomiono FRST.

1. Uruchom ponownie AdwCleaner, ale tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Corsodyl, nie ma potrzeby "odświeżania". Obecność tematu na dalszych stronach nie oznacza, że o nim nie wiem, w końcu cały czas siedzę w tym dziale. Odpowiadam gdy jestem w stanie, a kolejność wyboru tematów do przetwarzania jest uzależniona od różnych rzeczy. Po urlopie świątecznym mam tyle zaległości, że nie jestem w stanie odpowiadać wszystkim. Tylko jeśli jest to odpadek / program z którym są trudności deinstalacyjne. Narzędzie Microsoftu nie deinstaluje programu w sposób tradycyjny, usuwa tylko rejestrację MSI, elementy startowe oraz foldery aplikacji nadal mogą zostać na dysku. Poza tym, jest wiele programów ukrytych celowo, na których nie należy podejmować żadnych działań. Kończymy zadania czyszczące: 1. Był problem z usuwaniem dwóch katalogów, być może przez kontekst zalogowanego konta. Zaloguj się na GRAŻKĘ i sprawdź czy są na dysku poniższe foldery. Znalezione skasuj. C:\Documents and Settings\GRAŻKA\Dane aplikacji\Mozilla C:\Documents and Settings\GRAŻKA\Ustawienia lokalne\Dane aplikacji\Google 2. Usuń z obu kont pobrane narzędzia. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Został ten problem: Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Start > Uruchom > eventvwr.msc, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta.

Skasuj z dysku plik C:\Delfix.txt. To wszystko. Temat rozwiązany, zamykam.

Nie, nie sprawdzałam, gdyż nie mogę wyłączyć komputera (mam otwarte ważne prace w tle). Na koniec jeszcze przypomnę wątek synchronizacji Google Chrome: nie można jej włączyć ponownie, dopóki nie będzie pewne, iż dane z serwera zostały usunięte. Nie wiem ile trwa ten proces.

Poproszę o nowe raporty FRST (pobierz najnowszą wersję), które mają przedstawić co się zmieniło w systemie.

Temat założony w niewłaściwym dziale. Przenoszę do działu diagnostyki malware. Zestaw logów FRST niekompletny - brakuje pliku FRST Shortcut. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [Windows Defender] => [X] HKU\S-1-5-21-261541194-3550694387-445725353-1000\...\Run: [nvxasync] => C:\Users\Seba\AppData\Roaming\nvxasync\nvxasync.exe [142679040 2015-01-06] () HKU\S-1-5-21-261541194-3550694387-445725353-1000\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142679040 2015-01-06] () HKU\S-1-5-21-261541194-3550694387-445725353-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surfvox.com/ SearchScopes: HKU\S-1-5-21-261541194-3550694387-445725353-1000 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-261541194-3550694387-445725353-1000 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 C:\prefs.js C:\ProgramData\nvxasync C:\Users\Seba\AppData\Roaming\fpacked.exe C:\Users\Seba\AppData\Roaming\nvxasync Folder: C:\Users\Seba\AppData\Roaming\fportable Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał drugi brakujący log. Dołącz też plik fixlog.txt.

Nie uruchamia się, bo jakimś cudem wpisu nie załączyłam w Fix FRST. Poprawka - do Notatnika wklej: HKU\S-1-5-21-2354558839-626714277-1970587182-1001\...\Winlogon: [shell] C:\explorer\explorer.exe [2872320 2012-09-06] (Microsoft Corporation) RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\BonanzaDeals RemoveDirectory: C:\Users\Ewa\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt.

W związku z tym na razie opuść ten wątek i przejdź do dalszych czynności, by nie przeciągać sprawy. Wrócę do wpisu Google potem.

Kolejne czynności: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj szkodnika Security Protection. 2. Uruchom AdwCleaner ponownie, ale tym razem zastosuj kombinację Szukaj + Usuń. 3. Otwórz Notatnik i wklej w nim: BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File FF Plugin: @google.com/npPicasa3,version=3.0.0 -> C:\Users\Dominik\Desktop\Picasa3\npPicasa3.dll No File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Logi z DDS nie są obowiązkowe. Usuwam. Czy logi pochodzą z czasu przed reinstalacją? Brak pozycji ESET na liście zainstalowanych, ale w systemie działa sterownik ESET. Całość wygląda jak uszkodzona instalacja bądź niekompletna deinstalacja. Nie mając pewności z jakiego czasu pochodzą raporty na razie opuszczam ten wątek. W systemie jest uszkodzone WMI - była infekcja typu "policyjnego", która przekonfigurowała usługę systemową. Infekcję wyczyszczono w niepoprawny sposób, nie skorygowano ścieżki usługi systemowej i nadal kieruje ona na plik infekcji: S3 Winmgmt; C:\PROGRA~2\A24C47AA.cpp [X] Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 Winmgmt; C:\PROGRA~2\A24C47AA.cpp [X] HKU\S-1-5-18\...\Run: [Copy] => "C:\Users\mk\AppData\Roaming\Copy\CopyAgent.exe" ShellIconOverlayIdentifiers: [1aCopyShExtError] -> {83BEA36E-7680-4598-A4DF-994426F6E78D} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [2aCopyShExtSynced] -> {845B7388-6F85-4F32-9FD5-F02DC7882B89} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [3aCopyShExtSyncing] -> {F6378A7A-F753-449B-AE1B-997A96132E61} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [4aCopyShExtSyncingProg1] -> {3A511828-777D-46F8-82F4-5B530C1B3D9E} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [5aCopyShExtSyncingProg2] -> {C8C88204-5B14-40EC-BA72-8AEBC762047E} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [6aCopyShExtSyncingProg3] -> {ACFF45C3-3EEB-4351-86C2-6696BA264239} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [7aCopyShExtSyncingProg4] -> {29AF997F-488B-46F0-AE78-7146F1B89CC3} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [8aCopyShExtSyncingProg5] -> {03F9AD29-1C78-4B66-8890-B177B5430C53} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{03F9AD29-1C78-4B66-8890-B177B5430C53}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{06EEE834-461C-42C2-8DCF-1502B527B1F9}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\Janusz\AppData\Local\Google\Update\1.3.21.57\psuser.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\Janusz\AppData\Local\Google\Update\1.3.21.69\psuser.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Janusz\AppData\Local\Google\Update\1.2.183.39\goopdate.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{29AF997F-488B-46F0-AE78-7146F1B89CC3}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{3A511828-777D-46F8-82F4-5B530C1B3D9E}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{4336A54D-038B-4685-AB02-99BB52D3FB8B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{6311429E-2F1A-4777-880F-C7289FD10169}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{77F419AA-771A-45FF-AC66-7567FA3243D3}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{807C1E6C-1D00-453F-B920-B61BB7CDD997}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{82C588E7-E54B-408C-9F8C-6AF9ADF6F1E9}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{83BEA36E-7680-4598-A4DF-994426F6E78D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{845B7388-6F85-4F32-9FD5-F02DC7882B89}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{942BC614-676C-464E-B384-D3202AAA02DA}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{ACFF45C3-3EEB-4351-86C2-6696BA264239}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{AE054212-3535-4430-83ED-D501AA6680E6}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{B8967F85-58AE-4F46-9FB2-5D7904798F4B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{C8C88204-5B14-40EC-BA72-8AEBC762047E}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> C:\Users\Janusz\AppData\Local\Google\Update\1.3.21.65\psuser.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{DB450007-9764-11D6-819E-005056C00008}\localserver32 -> C:\PROGRA~1\DUMETE~1\DUMeter.exe No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{E68D0A50-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{E68D0A51-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{E68D0A52-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{E68D0A53-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{EDB5F444-CB8D-445A-A523-EC5AB6EA33C7}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{F3364BA0-65B9-11CE-A9BA-00AA004AE837}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{F6378A7A-F753-449B-AE1B-997A96132E61}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{FBF23B40-E3F0-101B-8488-00AA003E56F8}\InprocServer32 -> No File Path HKU\S-1-5-21-428840236-531340148-3836443965-1000\Software\Classes\.exe: => HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKU\S-1-5-21-428840236-531340148-3836443965-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponowie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Wartość DhcpNameServer jest dynamicznie aktualizowana z routera. Owszem, rozbieżność jest możliwa. Na forum był tylko jeden lub dwa przypadki takiej rozbieżności między wartością w rejestrze Windows a ustawieniami routera. W jednym z przypadków Windows nie był po prostu w ogóle podłączony do sieci (nie był w stanie zaktualizować danych) i log nadal pokazywał wpis infekcji, mimo że użytkownik już zmienił ustawienia na poziomie routera - dane się automatycznie skorygowały po podłączeniu do sieci i restarcie Windows. I tak jak mówisz, objawy mają się nijak do infekcji routera.

Log z USBFix wskazywał infekcję typu Gamarue: F:\ -> Removable disk # 15 Gb (11 Gb free - 75%) [PUBLIC] # NTFS ################## | F:\ - Removable drive (NTFS) | [13/05/2014 - 12:48:30 | SH | 76 Ko] - [hxxps://www.virustotal.com/file/1e66332f3f9eaee26cb294afddddd2889b30a5398359ec991a14307c6314d7a3/analysis/1401732362/ - (0/52)] - F:\glqsvsgjty.vbs [21/12/2014 - 01:45:00 | D] - F:\ Pierwszy plik jest szkodliwy. Zaś ta ostatnia pozycja, czyli folder "bez nazwy", to folder gdzie infekcja przesuwa wszystkie dane użytkownika. Twierdzisz: Wg raportu folder "bez nazwy" nie był ukryty, ale nie wiadomo jaki był stan obiektów wewnątrz. Pokaż na obrazku co widzisz.

Problem nie jest związany z infekcją i zostaje przeniesiony do innego działu. Nie podałeś o jakim systemie mowa, co wykonywałeś przed powstaniem problemu (przepinanie urządzeń, instalacje, etc.). Jeśli chodzi o logi, to można podać log FRST wykonany z poziomu środowiska zewnętrznego. Od razu mówię, że mam na uwadze dane takie tak informacje o ilości dysków i podziale na partycje, a nie aspekty infekcji.

Zadania wykonane. Na zakończenie uruchom DelFix oraz wyczyść foldery Przywracania systemu (o ile coś powstało, na początku brak punktów): KLIK.

Temat przenoszę do działu Windows. Żadnych śladów infekcji. Do korekty będą tylko drobne wpisy adware oraz puste, ale to na razie nie ma znaczenia i skup się na: Sprawdź czy transfer dysku nie został obniżony z DMA do PIO. Instrukcje są rozpisane w wątku Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Jeśli problem nadal aktualny, poproszę o nowy zestaw raportów FRST (wszystkie trzy) zrobiony z najnowszej wersji FRST.

Żadnych oznak infekcji. Temat przenoszę do działu Sieci. DNS pobierane z routera jest poprawne, nie ma tu infekcji routera: Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

Kończymy: Zastosuj DelFix, wyczyść foldery Przywracania systemu i uzupełnij instalacje Adobe/Java: KLIK.

Na razie czyszczenie jest w toku. Nie podałeś pliku fixlog, który powstał podczas przetwarzania skryptu FRST. Nie uruchamiaj Fix ponownie, chodzi o log który już jest na dysku.