picasso

W związku z moją chorobową przerwą, proszę tu zgłosić nie rozwiązane tematy malware starsze niż kilka dni / tydzień, które nadal wymagają interwencji. Przed zgłoszeniem tematu proszę upewnić się, że raporty, które są dołączone w poście nie mają więcej niż 3 dni - w innym przypadku są nieaktualne i trzeba przygotować nowe. Druga sprawa, że trzeba sprawdzić czy na pewno np. przy kopiowaniu nie doszło do zniekształcenia (np. ucięcia połowy raportu).

Wg raportu obiekty Elfbot zostały utworzone 17 października: ==================== One Month Created files and folders ======== 2016-10-17 23:01 - 2016-10-17 23:01 - 00000734 _____ C:\Users\FruGo\Desktop\ElfBot NG.lnk 2016-10-17 23:01 - 2016-10-17 23:01 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG Ostatni Fix FRST pomyślnie wykonany. Na koniec zastosuj DelFix. Przypominam o zmianie haseł.

Nie ma oznak, by skrypt FRST ze spoilera został w pełni wykonany. Wytnij z niego dwie pierwsze linie, uruchom go i dostarcz wynikowy Fixlog.txt. Jak mówiłam, nie widać tu śladów partycji Recovery. Nie wiadomo nawet kiedy ona zniknęła, skoro mamy tu do czynienia z systemem działającym około 4 lata. I przy braku jakichkolwiek obrazów instalacyjnych Windows (z partycji Recovery, czy DVD instalacyjnej) nie ma po prostu z czego robić "Recovery"... Na D są kopie zapasowe z zakresu lat 2014 - 2016 utworzone przez działający Windows. Wątpię, by backup z roku 2014 był tu przydatny... Miejsca na D już też brakuje, więc kolejny backup pewnie wyrzuci błąd. Partycję D po prostu sformatować, ale obecność kopii z października 2016 wskazuje, że masz skonfigurowane aktywne tworzenie kopii zapasowej z poziomu Panelu sterowania, więc sprawdź również tę konfigurację i decyduj czy kontynuujesz zrzucanie tej kopii. Gorzej z miejscem na dysku C. Tu pole manewru jest mocno ograniczone. Wstępnie widzę, że można wyłączyć Hibernację (prawie 3GB zostanie odzyskane), o ile z niej nie korzystasz. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako administrator > wklep komendę powercfg.exe /hibernate off i ENTER. Po tej akcji powinien zniknąć ukryty plik C:\hiberfil.sys. Jeśli nie zostanie samoistnie skasowany, zesetuj system i dokasuj go ręcznie. Teraz już wychodzę z domu, przyjrzę się na tę mapkę SpaceSniffer dokładniej później.

Czy podjąłeś jakieś kroki z tym ACMON? Jakie komunikaty widzisz? Inna platforma, więc nowy temat w dziale Windows 10. Obrazek z zainstalowanych aplikacji zbędny - log FRST Addition podaje szczegółową listę zainstalowanych (wliczając ukryte niewidoczne z poziomu Panelu sterowania).

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. 2. Zlikwiduj drobny błąd WMI posługując się instrukcjami Microsoftu: KLIK. 3. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Wygląda na to, że SFC naprawił plik: 2016-10-24 17:32:09, Info CSI 000003cc [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:20{10}]"dnsapi.dll" from store 2016-10-24 17:32:09, Info CSI 000003cd [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"lpremove.exe" from store 2016-10-24 17:32:09, Info CSI 000003cf [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:20{10}]"dnsapi.dll" from store Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder martwego już profilu Chrome: C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default Dodatkowo upłynnij FRST i jego logi z New folder (2) na Pulpicie. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Temat przenoszę do działu Windows, główny problem oraz komunikaty Windows Update nie są powiązane z infekcją. Laptop jest mocno obciążony, gdyż równolegle działają Avast i pakiet McAfee (katastrofa!), a na dodatek jeszcze lewy skaner Bytefence Anti-Malware. Jeśli rzecz o doczyszczaniu systemu z instalacji adware/PUP, nadmiaru antywirusów i zbędnych aplikacji Lenovo: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe AIR, Amazon 1Button App, Booking.com version 1.1.0.5019, CCSDK, ByteFence Anti-Malware, Host App Service, Lenovo Web Start, Maxthon Cloud Browser, McAfee LiveSafe - Internet Security, Lenovo Browser Guard, Start Menu, SHAREit, UESDK, Update for PriceFountain. Ta seria Pokki (Host App Service, Lenovo Web Start, Start Menu) to produkty wątpliwej reputacji preintegrowane na Lenovo. A Maxthon jest powiązany z "aferą szpiegowską": KLIK. - Po poprawnej deinstalacji pakietu McAfee zastosuj także firmowy specjalizowany usuwacz McAfee Consumer Product Removal Tool. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: Mobile Partner. RunOuc Task: {6AB5831E-3BD1-474C-BEB2-5B601AB57600} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) Task: {7EB0E2D1-3668-42FE-87C3-C5D40FC7ACDA} - System32\Tasks\Booking_helper => C:\PROGRA~2\Booking.com\BOOKIN~2.EXE Task: {EA6113ED-A80B-46F3-AB6B-EF9517BDF793} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo) Task: C:\WINDOWS\Tasks\Booking_helper.job => C:\PROGRA~2\Booking.com\BOOKIN~2.EXE HKLM-x32\...\Run: [snp2uvc] => C:\WINDOWS\vsnp2uvc.exe FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset C:\ProgramData\Pokki C:\Users\Mariusz\AppData\Local\BTServer.log C:\Users\Mariusz\AppData\Local\SweetLabs App Platform EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Rucek wydzielał podpięcie do cudzego tematu, a ja dodatkowo temat przesuwam do działu Windows. To nie jest problem infekcji. Z raportów nic nie wynika. Sprawdź czy problem występuje na tzw. "czystym rozruchu": KLIK. PS. A w spoilerze doczyszczenie drobnych szczątkowych wpisów, bez związku ze zgłoszonym problemem.

AdwCleaner znalazł ogromną ilość szczątków adware. Po pierwsze: nie zauważyłam, że nie odinstalowałeś poprzednio programu MyFreeCodec (i AdwCleaner go właśnie wykrywa), więc wdróż to. Następnie po deinstalacji uruchom ponownie AdwCleaner, tym razem dobierz po kolei opcje Skanuj + Oczyść i dostarcz wynikowy log.

Niestety ale 32-bitowy plik dnsapi.dll nie chce się podmienić poprawną kopią. Inna metoda podmiany pliku. Tzn. wywołaj komendę sfc /scannow i dostarcz przefiltrowany wg wytycznych log:

Temat przesuwam do działu Software. Brak związku z infekcją. 1. Skoro problem się ujawnił po owych aktualizacjach, to ta sfera wygląda na powodującą problem. Mocno kombinowałeś z instalacjami Visual (liczne punkty Przywracania systemu). Finalnie na liście zainstalowanych widzę tylko Microsoft Visual C++ 2008 Redistributable Package (x86 + x64). W Dzienniku zdarzeń widać wiele błędów tego typu: Dziennik Aplikacja: ================== Error: (10/24/2016 03:12:16 PM) (Source: SideBySide) (EventID: 33) (User: ) Description: Nie można wygenerować kontekstu aktywacji dla "C:\Windows\WinSxS\x86_microsoft.vc80.mfc_1fc8b3b9a1e18e3b_8.0.50727.762_none_0c178a139ee2a7ed\MFC80U.DLL". Nie można odnaleźć zestawu zależnego Microsoft.VC80.MFCLOC,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0". Użyj narzędzia sxstrace.exe, aby uzyskać szczegółową diagnozę. Microsoft.VC80.MFCLOC = Microsoft Visual C++ 2005 Redistributable Package. Instalacje Visual się nie zastępują, tzn. nowsza nie będzie działać z programem, który jest zbudowany przy użyciu starszej. Ten zdezelowany 32-bitowy Corel datowany na 2008 to potrzebuje Microsoft Visual C++ 2005 Redistributable SP1 (x86): KLIK. 2. Jeśli po w/w instalacji problem nie ustąpi: na szybko przeszukałam Google i ten "Runtime Error" może być też powodowany niedomyślnym obszarem roboczym i ponoć założenie nowego z matrycy może pomóc: KLIK. PS. A co do martwych szczątków Reimage (kompletny brak wpływu na system) + drobnostki poboczne, to możesz zastosować następujący skrypt fixlist.txt do FRST: I przez SHIFT+DEL (omija Kosz) skasuj folder typu artefakt: C:\Users\Micha�

Wszystko zrobione, ale tu nie koniec zmagań. 1. Nadal jest zarażona 32-bitowa wersja dnsapi.dll. Uruchom ponownie RepairDNS, a po jego użyciu zresetuj system. 2. Niestety nowo założony profil w Google Chrome został od razu zanieczyszczony adware i to wynik aktywnej synchronizacji z serwerem Google (zapisane na serwerze ustawienia adware). Zresetuj synchronizację: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj rozszerzenie wątpliwej reputacji powiązane z działaniami adware Video Downloader professional. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną Google i skasuj z listy wszystko z wyjątkiem Google. 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Damian\AppData\Local\Google\Chrome\User Data\ChromeDefaultData Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Ewidentnie załadowano tu ustawienia profilu z serwera Google, więc pytaniem jest czy masz wszystkie zakładki w Google Chrome? Jeśli nie, jest szansa na ich wyciągnięcie ze starego martwego już profilu.

Temat przenoszę do działu Sieci, to nie jest wynik infekcji. Czy jesteś pewien, że nie jest to problem po stronie dostawcy? Czy nie ma tu aby wpływu instalacja AVG? Jeśli odpowiedź na oba pytania jest negatywna, dostarcz dane wymagane działem Sieci: KLIK. Prawdopodobnie kto inny zajmie się tematem, jest to poza moją specjalizacją. Jedyne co mi się tu rzuca w oczy, to wieszanie usługi Origin: Dziennik System: ============= Error: (10/24/2016 12:41:16 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Origin Web Helper Service z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Error: (10/24/2016 12:41:16 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Origin Web Helper Service. ... a przy okazji także zbyt mało wolnego miejsca na partycji C (to może prowadzić do zawieszeń ogólnych systemu): ==================== Dyski ================================ Drive c: () (Fixed) (Total:116.44 GB) (Free:3.46 GB) NTFS W spoilerze poboczne działania do wykonania, czyli deinstalacje oraz usunięcie drobnych szczątków i artefaktów po używaniu ComboFix i czyszczenie Tempów. Włączając też rekonfiguracja dwóch usług: Dziennik zdarzeń (Eventlog) nie może być wyłączony, to niezbędna usługa m.in. do poprawnego funkcjonowania Harmonogramu) + przestawienie na Ręczny wieszającej się usługi Origin Web Helper Service.

Jest tu owszem wiele elementów infekcji adware, w tym infekcja DNS (zarażone pliki Windows dnsapi.dll), a w Google Chrome jest fałszywy profil wstawiony przez adware. Działania do przeprowadzenia: 1. Uruchom RepairDNS i zresetuj system. Na Pulpicie powstanie log RepairDNS.txt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Providers\4zal1oor: D:\Games\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\7e5sbqvr: D:\WarThunder\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\7ghu9wiw: C:\Users\Damian\AppData\Local\Google\Chrome\User Data_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\8bw0hcc5: D:\Program Files_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\9nd72gsa: D:\Program Files\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\cjykwm5j: C:\Users\Damian\AppData\Local\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\epimjqss: C:\Users\Damian\AppData\Local\Temp\local64spl.dll HKLM\...\Providers\galolxb9: C:\Program Files (x86)\Youtube AdBlock\local64spl.dll HKLM\...\Providers\iwr6e3cd: C:\Program Files (x86)\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\k9cdgcb9: C:\Windows\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\kkoaepst: C:\Users\Damian\AppData\LocalLow\Youtube AdBlock\local64spl.dll HKLM\...\Providers\pbn9jxvc: D:\WarThunder_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\qbim8086: C:\\local64spl.dll HKLM\...\Providers\sbjf3l69: C:\_\local64spl.dll HKLM\...\Providers\smq66f0w: C:\Users\Damian\AppData\LocalLow\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\wc5tncty: D:\Program Files (x86)\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\y53f4qk0: D:\Games_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\yle1tx80: D:\Program Files (x86)_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\zh0e3rcp: C:\Windows\Temp\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\zn9pq19j: C:\Users\Damian\AppData\Local\Google\Chrome\User Data\local64spl.dll [142848 2016-10-23] () Task: {7C8CD26E-6569-4FB0-90AD-284763AAFCC7} - System32\Tasks\4b61d06ef0356dc7e0a79eadfc7c48a5 => Rundll32.exe "C:\Program Files (x86)\AMD\dp0irx.dll",e62dc6c6547f46bda862da2d05af6862 Task: {E373130B-FB5C-4E8C-A6F7-BEAAC30B39A4} - \Fekutain Renew -> No File <==== ATTENTION Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File <==== ATTENTION NETSVCx32: HpSvc -> no filepath. S3 EasyAntiCheatSys; \??\C:\Windows\system32\drivers\EasyAntiCheat.sys [X] HKU\S-1-5-21-938549846-2126480309-1688900008-1001\...\Run: [GalaxyClient] => [X] GroupPolicy: Restriction - Chrome <======= ATTENTION BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> C:\Program Files (x86)\Youtube AdBlock\IEEF\XK9jjMtbSm.dll => No File BHO: No Name -> {F525CC93-970E-4841-8524-C7A087F4B650} -> No File BHO-x32: No Name -> {F525CC93-970E-4841-8524-C7A087F4B650} -> No File DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\local64spl.dll.ini C:\_ C:\Program Files\Aiduwb C:\Program Files\AiduwbUn C:\Program Files\Plumbytes Software C:\Program Files (x86)\AMD\dp0irx.dll C:\Program Files (x86)\Temp C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\Youtube AdBlock_ C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\TOSTACK C:\Users\Damian\AppData\Local\CEF C:\Users\Damian\AppData\Local\Google\Chrome\User Data\local64spl.dll C:\Users\Damian\AppData\Local\Google\Chrome\User Data_ C:\Users\Damian\AppData\Local\Temp_ C:\Users\Damian\AppData\Local\Tempfolder C:\Users\Damian\AppData\Local\UCBrowser C:\Users\Damian\AppData\LocalLow\Company C:\Users\Damian\AppData\LocalLow\Youtube AdBlock_ C:\Users\Damian\AppData\Roaming\SimpleNotepad4 C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Damian\Downloads\*.torrent C:\Windows\Temp_ C:\Windows\system32\yrui C:\Windows\SysWOW64\kz.exe D:\Games\local64spl.dll D:\Games_ D:\Program Files (x86)\local64spl.dll D:\Program Files (x86)_ D:\Program Files\local64spl.dll D:\Program Files_ D:\WarThunder\local64spl.dll D:\WarThunder_ Hosts: StartBatch: ipconfig /flushdns netsh advfirewall reset EndBatch: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W powyższym skrypcie zostały załączone do usunięcia wszystkie skróty przeglądarek zawierające utajoną Cyrylicę. Skróty musisz odtworzyć ręcznie w wybranych miejscach. 4. Konieczna wymiana całego profilu Google Chrome. Ustawienia > karta Ustawienia > Osoby. Na liście powinien być widoczny profil adware pod nazwą user0. Należy go usunąć i opcją Dodaj osobę założyć nowy, zamknąć wszystkie bieżące okna Google Chrome i otworzyć Chrome ponownie już na nowym profilu. Ewentualny odzysk utraconych zakładek potem. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Temat przenoszę do działu Windows, bo główne wątki nie są wynikową infekcji. Jeśli chodzi o problem z Recovery, to wg raportu FRST Addition oraz widoku diskmgmt.msc nic tu nie wskazuje na obecność partycji Asus Recovery, tylko partycja z Windows oraz rozszerzona podzielona na 3 dyski logiczne (D patrz niżej, a E i F utworzone przez Ciebie ręcznie). Układ partycji wygląda na mocno przerobiony, a jak do tego doszło, to już nie jestem w stanie powiedzieć. Ten wątek zdaje się tu być niestety zamknięty, nie ma skąd brać materiału na Recovery (brak tej partycji, brak płyt instalacyjnych Windows). Dostarczony widok partycji D nie potwierdza, by było tam cokolwiek od Recovery. Widać tylko elementy Kopii zapasowej systemu Windows (folder WindowsImageBackup + pliki MediaID.bin i NIESMIERTELNY), utworzone ręcznie w trakcie działania systemu. Jak bardzo stara jest ta kopia i czy chcesz ją usunąć? Jeśli w folderze Bridge Project nie ma nic ważnego, to można po prostu partycję D sformatować. Zostaje więc do drążenia ten wątek. Infekcje tu owszem są, tzn.: - Infekcja routera, zamalowany adres IP jest holenderski, a wg IP pod jakim Cię widzę na forum powinieneś mieć adres DNS polskiego dostawcy: Tcpip\Parameters: [DhcpNameServer] 5.39.220.123 8.8.8.8 - Jak wspominałam, w systemie jest też aktywne adware (Browser-Security), ale nabyłeś je co dopiero z "Asystenta pobierania" dobrychprogramów: KLIK. Na to wskazuje linia czasowa ("dp" = pliki Asystenta a nie poprawne instalatory): 2016-10-14 20:37 - 2016-10-14 20:37 - 00000000 ____D C:\Users\Niiesmiertelny\AppData\Roaming\Browser-Security 2016-10-14 20:36 - 2016-10-14 20:36 - 01190144 _____ (Tefasahofi ) C:\Users\Niiesmiertelny\Downloads\UNetbootin-12993-dp.exe 2016-10-14 20:35 - 2016-10-14 20:35 - 01190144 _____ (Tefasahofi ) C:\Users\Niiesmiertelny\Downloads\GParted-13209-dp.exe Żadne z powyższych nie jest raczej przyczyną kłopotów z systemem. Zacinanie ogólne prędzej może być wynikiem bardzo małej ilości wolnego miejsca na dysku C: Drive c: () (Fixed) (Total:58.59 GB) (Free:3.97 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] 1. Na początek w spoilerze przeczyszczenie z infekcji i wpisów szczątkowych oraz usunięcie zdefektowanych sterowników zabezpieczenia Tages. Komenda czyszczenia Tempów zadana w skrypcie FRST może nieco zmienić statystyki wolnego miejsca na C. 2. Jeśli rzecz o tym błędzie: Dziennik System: ============= Error: (10/23/2016 04:31:03 PM) (Source: ipnathlp) (EventID: 31004) (User: ) Description: Agent proxy DNS nie może przydzielić 0 bajtów pamięci. Może to wskazywać, że w systemie brakuje pamięci wirtualnej lub że menedżer pamięci napotkał błąd wewnętrzny. Spróbuj wyłączyć współdzielenie: Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > po kolei pobierz Właściwości dla wszystkich aktywnych połączeń i przejdź do karty Udostępnianie > odznacz "Zezwalaj innym użytkownikom sieci na łączenie się poprzez połączenie internetowe tego komputera" (o ile zaznaczone). Start > w polu szukania wpisz services.msc > Uruchom jako Administrator > dwuklik na usługę "Udostępnianie połączenia internetowego (ICS)" i Typ startowy przestaw na Wyłączony (o ile stoi tam aktualnie coś innego). 3. Za pomocą SpaceSniffer zorientuj się gdzie ewentualnie można zwolnić miejsce na dysku C. Dysk D zajmuje głównie Kopia zapasowa systemu Windows i tu czekam na potwierdzenie, czy można ją usunąć. SpaceSniffer należy uruchomić z prawokliku via "Uruchom jako administrator", by obliczył obszary zablokowane. 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 5. Na koniec zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt ze spoilera.

Brak głównego pliku FRST.txt. Co to za plik Fixlog? Skąd był brany skrypt do FRST? Nie można używać skryptów z innych tematów, nie zdziałają nic (inne konfiguracje, ścieżki dostępu), a jeszcze można uszkodzić sobie system. A ten tu widziany skrypt to nic prawie nie zrobił i nie pasuje do problemu.

Tu jeszcze nie skończyliśmy. Dodaj log z AdwCleaner.

Na przyszłość: Trojan Remover to nie jest zbyt polecany program i on nie jest specjalizowany w kontekście widzianych tu problemów. Oceniając zaś stan widziany w raportach, nadal infekcja DNS (zainfekowany plik systemowy dnsapi.dll), liczne aktywne obiekty adware oraz wstawiony przez adware fałszywy profil w Chrome. Działania do przeprowadzenia: 1. Odinstaluj: Adobe Flash Player 10 ActiveX (bardzo stara wersja z grożnymi lukami), Akamai NetSession Interface (zbędny downloader produktów Autodesk), Trojan Remover 6.9.4. 2. Uruchom RepairDNS i zresetuj system. Na Pulpicie powstanie log RepairDNS.txt. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Providers\0iz2p5v8: D:\Filmy_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\1anoq0tb: C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\22jhgxgb: C:\Users\Konrad\AppData\LocalLow\Youtube AdBlock\local64spl.dll HKLM\...\Providers\2n2ozl0r: D:\EaseUS Partition Master 11.0_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\2qqpq9n9: D:\EaseUS Partition Master 11.0\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\37ezym5j: C:\Users\Konrad\AppData\Local\Temp\local64spl.dll HKLM\...\Providers\40x4ogk9: C:\Program Files (x86)\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\48pv4nq3: D:\Projekty_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\917txvc8: C:\Users\Konrad\AppData\Local\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\cyhzh7un: C:\Users\Jacek Teresa\AppData\LocalLow\Youtube AdBlock\local64spl.dll HKLM\...\Providers\hjw795gm: D:\MANTA AKTUALIZACJA_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\hk2y91pw: C:\Users\Jacek Teresa\AppData\Local\Temp\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\hmdd1os2: C:\_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\hwqu3uqn: C:\Users\Jacek Teresa\AppData\Local\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\ll45t581: D:\Filmy\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\mnjngigv: C:\Users\Konrad\AppData\LocalLow\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\nmxq67v7: C:\Program Files (x86)\Mozilla Firefox\browser\features\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\nzul2b6g: C:\Program Files (x86)\Youtube AdBlock\local64spl.dll HKLM\...\Providers\oxgm80q6: C:\Users\Konrad\AppData\Local\Google\Chrome\User Data_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\s1zm9f5f: C:\Windows\Temp\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\snt0eqfd: C:\Program Files (x86)\Mozilla Firefox\browser\features_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\t4c7o2d4: C:\Users\Konrad\AppData\Local\Google\Chrome\User Data\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\umuiapam: C:\Users\Jacek Teresa\AppData\LocalLow\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\vb9p0hnn: C:\\local64spl.dll HKLM\...\Providers\vlx94z31: C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\xyzgujd5: D:\MANTA AKTUALIZACJA\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\yv2ydj41: C:\Windows\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\zcf5entn: D:\Projekty\\local64spl.dll [142848 2016-10-23] () R2 Cercither; C:\Program Files (x86)\Cudpyjnuly\PptPrv.dll [273920 2016-10-22] () [brak podpisu cyfrowego] NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {1E043638-3A6D-46D9-8156-654576485632} - System32\Tasks\4b61d06ef0356dc7e0a79eadfc7c48a5 => Rundll32.exe "C:\Program Files (x86)\Microsoft.NET\iqa5dx.dll",e62dc6c6547f46bda862da2d05af6862 Task: {59B33E5B-C2E4-4754-9354-453F4126A346} - System32\Tasks\Driver Booster SkipUAC (Konrad) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe Task: {AC3AA9B9-27F1-4A84-B083-532E5ADEDE2E} - System32\Tasks\Wakoshqiqa Helper => C:\Program Files (x86)\Cudpyjnuly\rmuy.exe [2016-10-22] (VideoLAN) Task: {C54BC717-E2A1-4D9F-BF94-058978EA4735} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\NoteIcon.exe HKU\S-1-5-18\...\Run: [] => 0 MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Konrad\AppData\Local\Akamai\netsession_win.exe" MSCONFIG\startupreg: app => C:\Program Files (x86)\hhh\uc.exe MSCONFIG\startupreg: svchost0 => C:\Program Files (x86)\hhh\uc.exe GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-498792050-126766143-2195073676-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\local64spl.dll.ini C:\_ C:\Program Files (x86)\Cudpyjnuly C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Youtube AdBlock_ C:\Program Files (x86)\Microsoft.NET\iqa5dx.dll C:\ProgramData\wxr_2dm.adt C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\ProductData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\TOSTACK C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data\local64spl.dll C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data_ C:\Users\Jacek Teresa\AppData\Local\Temp_ C:\Users\Jacek Teresa\AppData\LocalLow\Youtube AdBlock_ C:\Users\Konrad\AppData\Local\Funusygaqacult C:\Users\Konrad\AppData\Local\Temp_ C:\Users\Konrad\AppData\Local\Tempfolder C:\Users\Konrad\AppData\Local\Google\Chrome\User Data\local64spl.dll C:\Users\Konrad\AppData\Local\Google\Chrome\User Data_ C:\Users\Konrad\AppData\LocalLow\Company C:\Users\Konrad\AppData\LocalLow\IObit C:\Users\Konrad\AppData\LocalLow\Youtube AdBlock_ C:\Users\Konrad\AppData\LocalLow0000000000415B98 C:\Users\Konrad\AppData\LocalLow0000000000500CC8 C:\Users\Konrad\AppData\LocalLow005C25D0 C:\Users\Konrad\AppData\LocalLow007E78C0 C:\Users\Konrad\AppData\Roaming\*.* C:\Users\Konrad\AppData\Roaming\Getaenthajos C:\Users\Konrad\AppData\Roaming\IObit C:\Users\Konrad\AppData\Roaming\Microleaves C:\Users\Konrad\AppData\Roaming\Mozilla C:\Users\Konrad\Desktop\Bocad-3D64_21_en.lnk C:\Users\Konrad\Desktop\Bocad-3D64_21_pl.lnk C:\Users\Konrad\Desktop\Play WarThunder.lnk C:\Windows\windowdowngrade.exe C:\Windows\IObit C:\Windows\Temp_ C:\Windows\system32\cea D:\EaseUS Partition Master 11.0\local64spl.dll D:\EaseUS Partition Master 11.0_ D:\Filmy\local64spl.dll D:\Filmy_ D:\MANTA AKTUALIZACJA\local64spl.dll D:\MANTA AKTUALIZACJA_ D:\Projekty\local64spl.dll D:\Projekty_ CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wymagana wymiana całego profilu Google Chrome. Ustawienia > karta Ustawienia > Osoby. Na liście powinien być widoczny profil adware pod nazwą user0. Należy go usunąć i opcją Dodaj osobę założyć nowy, zamknąć wszystkie bieżące okna Google Chrome i otworzyć Chrome ponownie już na nowym profilu. Ewentualny odzysk utraconych zakładek potem. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Nie widzę raportu z DelFix....

Wszystko pomyślnie wykonane. Drobne działania dodatkowe: 1. W związku z tym, że były tu też ślady adware, uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff Co masz na myśli? Czy po usunięciu infekcji są jakieś problemy z kartą graficzną?

Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Wszystko zrobione. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Wg raportów Avast i Unchecky zostały zainstalowane już po fakcie (tzn. w trakcie procesu czyszczenia, gdy już były obiekty adware aktywne), więc pojawiły się za późno. uBlock Origin dobry dodatek, ale jego rola jest po prostu ograniczona i już nic nie zdziała w momencie, gdy użytkownik uruchomił ręcznie "downloader" ze sponsorami. Natomiast WOT to ma niestety nikły wpływ na redukcję problemu, to tylko dodatek stricte informacyjny. Jeśli chodzi o zatrzymanie niepożądanych instalacji, to tu sugerowanym rozwiązaniem byłby raczej program mocno orientowany na instalacje adware/PUP, a takim jest komercyjna wersja MBAM czy Emsisoft. Bardzo mi miło, że mnie zapamiętałeś (tyle lat!) i doceniasz moje działania.

Wszystko wykonane. Teraz jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Plik powstał "pomiędzy" obiektami szkodników, więc szukałam informacji o nim i nic nie mogłam znaleźć. Skoro jest to na pewno poprawny nieszkodliwy obiekt, wyciągnij go z folderu C:\FRST\Quarantine.

Uruchomienie skryptu FRST to tylko część zadanych czynności. Do wykonania punkty 2 i 3.

W tej sytuacji spróbuj uruchomić skrypt FRST z poziomu trybu normalnego.