picasso

Temat jedzie do działu Windows. To nie jest problem infekcji. Menedżer zadań przełączył się na wbudowany tryb skrojony (tzw. "tiny footprint mode"). Dwuklik w ramkę menedżera, by go przełączyć na wersję pełną. Sprawdź czy pomoże wyczyszczenie cookies należących do Facebooka. Z raportów nic nie wynika. Jedyne co widzę, to błędy w Dzienniku związane z plugin-container (czyli motorem wtyczek): Error: (10/17/2016 09:24:58 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: plugin-container.exe, wersja: 49.0.1.6109, sygnatura czasowa: 0x57e44563 Nazwa modułu powodującego błąd: mozglue.dll, wersja: 49.0.1.6109, sygnatura czasowa: 0x57e43eea Kod wyjątku: 0x80000003 Przesunięcie błędu: 0x0000e846 Identyfikator procesu powodującego błąd: 0x1814 Godzina uruchomienia aplikacji powodującej błąd: 0x01d2289e30701748 Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe Ścieżka modułu powodującego błąd: C:\Program Files (x86)\Mozilla Firefox\mozglue.dll Identyfikator raportu: 63e69fa7-949f-11e6-b8b1-18f46af4d8fb - Sprawdź co się stanie, gdy na liście wtyczek wyłączysz wszystkie z wyjątkiem Adobe Flash i przeładujesz Firefox. - Sprawdź czy skaner webowy od Avast ma coś do rzeczy. PS. Do wykonania poboczne działania: 1. Odinstaluj stare wersje oraz inne zbędne instalacje: Apple Mobile Device Support, Bonjour, Codecs for Windows 7 Pack 4.0.5 (częściowo naruszony), Facebook Video Calling 3.1.0.521, Java 8 Update 77 (64-bit), Java 8 Update 77, Java SE Development Kit 8 Update 31 (64-bit), Opera 12.17, QuickTime, Real Alternative 1.9.0 Lite, Skype Toolbars, WarThunder (adware imitujące grę), Windows Media Player Firefox Plugin. 2. Czyszczenie odpadków adware/PUP, wpisów pustych i Tempów. Komenda czyszczenia Temp usuwa też Cookies głównych przeglądarek (z wyłączeniem starej zdezelowanej Opery zaleconej do deinstalacji), więc może być zmiana pod kątem problemu logowania Facebook. Ponadto skrypt FRST zaadresuje poniższe błędy poprzez reset bazy certyfikatów (idstore.*): Dziennik System: ============= Error: (10/19/2016 06:52:22 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (10/19/2016 06:52:22 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (10/19/2016 06:52:22 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: Chmura protokołu rozpoznawania nazw równorzędnych nie została uruchomiona, ponieważ tworzenie tożsamości domyślnej nie powiodło się; kod błędu: 0x80630801. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF Homepage: Mozilla\Firefox\Profiles\yx8u7ari.default -> hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun Task: {40C7352F-A2A4-48D0-9E0A-0BD32C210BA8} - System32\Tasks\{C453D953-1BAD-472E-89BC-7486AC1C494E} => Chrome.exe hxxp://ui.skype.com/ui/0/7.6.64.103/pl/abandoninstall?page=tsBing Task: {83CE76BE-AA6A-4F00-A727-6F19DCDA7EBC} - System32\Tasks\{28BDA284-77B9-481E-8363-26E6CCA70EE4} => E:\StarCraft+BroodWar\StarCraft.exe Task: {8745148F-3400-40A6-82CE-E7153A08CA51} - System32\Tasks\{58FF0A87-54C6-4969-BD06-7649B1970D08} => E:\StarCraft+BroodWar\StarCraft.exe Task: {CA08AA02-FA27-4FEB-B488-27C2C802ADD1} - System32\Tasks\{6D18DEF1-F530-4B65-B75E-CFA14E2FE172} => C:\Program Files (x86)\Skype\\Phone\Skype.exe C:\ProgramData\Microsoft\Windows\GameExplorer\{23C423C7-A47A-4F75-8F4C-64FBF2155932} C:\ProgramData\Microsoft\Windows\GameExplorer\{F1AB869D-89BC-4FC9-B966-FE7B566543D0}\PlayTasks\2\Naprawa.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codecs for Windows 7 Pack C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Machinarium C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MetaGeek C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 Software Ltd C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Kuba\AppData\Local\Microsoft\Windows\GameExplorer\{199EC88A-4CBF-4A0F-9497-23388406AC06} C:\Users\Kuba\AppData\Local\Microsoft\Windows\GameExplorer\{2BFED2E8-301F-451B-AAC7-BB9AFFFACE73} C:\Users\Kuba\AppData\Local\Microsoft\Windows\GameExplorer\{DC7A8DAA-8A18-47FE-B124-C91556CABB58} C:\Users\Kuba\AppData\Roaming\Skype C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V4.6.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Video Converter Uninstall Video Converter.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Video Converter Video Converter.lnk C:\Users\Desktop\Cyberlink Power2Go.lnk C:\Users\Desktop\CyberLink YouCam.lnk C:\Users\Public\Desktop\inSSIDer Home.lnk C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* RemoveDirectory: C:\Users\Gość CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Skrypt pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz FRST i jego logi z folderu ftps na Pulpicie. Następnie wyczyść punkt Przywracania utworzony przez FRST: KLIK. To wszystko.

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z katalogu "Nowy folder" w Pobranych. Następnie skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Jest tu zainstalowany Baidu Antivirus. Chiński program w zastoju rozwojowym (chyba wycofują się z zachodniego rynku), montowany metodami "PUP" i wiary bym w niego za bardzo nie pokładała. Popatrz na listę oprogramowania co w zamian: KLIK. 3. System wymaga ogromnej aktualizacji. Stan obecny to łysy Windows 7 bez SP1 (zablokowane aktualizacje), IE11 i ogromnej ilości łat wydanych między SP1 a dniem dzisiejszym. Największe paczki podstawowe zlinkowane w przyklejonym temacie: KLIK. Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

AdwCleaner wykrył jeszcze różne szczątki adware. Uruchom go ponownie i tym razem wybierz sekwencję opcji Skanuj + Oczyść. Przedstaw log z czyszczenia (z oznaczeniem "C" w nazwie).

Nie widzę tutaj żadnej infekcji związanej z opisywanymi objawami... FRST w ogóle nie skanuje Thunderbird, więc nie wiadomo co w nim jest zainstalowane. Z raportu FRST można wywnioskować tylko tyle, że jest conajmniej jedno (nieszkodliwe) rozszerzenie aktywnie załadowane i nic poza tym. Skoro następują jakieś niepożądane ingerencje w treści e-mail, zdeaktywuj wszystkie rozszerzenia zamontowane w Thunderbird, następnie przeładuj program i sprawdź czy jest jakaś zmiana. 2013-07-19 19:06 - 2012-11-21 07:26 - 00008704 _____ () C:\Users\acer\AppData\Roaming\Thunderbird\Profiles\rvy7ksvj.default\extensions\mintrayr@tn123.ath.cx\lib\tray_x86-msvc.dll Natomiast w systemie są obiekty adware PriceFountain i SafeFinder, przy okazji można usunąć masowe przekierowania Avira search.avira.net (to modyfikacje typu "PUP"). Obiekty PriceFountain w Harmonogramie są globalne i to ewentualnie mogłoby się łączyć z pokazywaniem w Thunderbird jakiś treści reklamowych, ale te zadania PriceFountain wyglądają na martwe / nieaktywne (nie widzę w załadowanych modułach pasującego obiektu). 1. Są tu dwa antywirusy, odinstaluj Microsoft Security Essentials. Do deinstalacji także Tlen.pl - martwy komunikator i sieć komunikacyjna. Obecnie jedyne co działa to tylko poczta. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0C038161-06C4-4C7C-9A6A-3FBAEE56D6E2} - System32\Tasks\acerMaxwellsProbabilitiesV2 => Rundll32.exe PlunderingGargling.dll,main 7 1 Task: {417802E5-0367-4539-8A8C-C7459B9DE135} - System32\Tasks\{128D6072-B423-9421-A97D-30E62BD88BBC} => C:\Users\acer\AppData\Roaming\PRICEF~1\PRICEF~1.EXE Task: C:\Windows\Tasks\{128D6072-B423-9421-A97D-30E62BD88BBC}.job => C:\Users\acer\AppData\Roaming\PRICEF~1\PRICEF~1.EXE S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe shuz -f "C:\ProgramData\\Quotenamron\\Quotenamron.dat" -l -a U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X] S3 pcidnt; \SystemRoot\System32\Drivers\pcidnt.sys [X] S4 sptd; System32\Drivers\sptd.sys [X] S3 vdrive; system32\DRIVERS\vdrive.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] MSCONFIG\Services: GamesAppService => 3 MSCONFIG\startupreg: DAEMON Tools Lite => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun MSCONFIG\startupreg: Komunikator => C:\Program Files (x86)\Tlen.pl\tlen.exe HKU\S-1-5-21-2578688233-1128249932-317870856-1000\...\Policies\Explorer: [] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2578688233-1128249932-317870856-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = hxxp://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6R8RQlLk9E&i=26 SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> {DD95CDBF-AD1E-4CD5-881B-9DC2BA807971} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} StartMenuInternet: FIREFOX.EXE - firefox.exe StartMenuInternet: Google Chrome - Chrome.exe StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Extensions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra C:\Users\acer\AppData\Local\MaxwellsProbabilities C:\Users\acer\AppData\Roaming\*.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Nie wiem skąd pobierałeś paczki, nie wiem dokładnie która z nich wprowadziła trojana i nie daję żadnych gwarancji. Jedyne co można wywnioskować z logów, to że ElfBot został zainstalowany 17 października, a infekcja pojawiła się dokładnie tego samego dnia, czyli prawdopodobnie to ten Elfbot ją załadował. Jeśli paczka ma zintegrowanego szkodnika, nie da się go po prostu "usunąć" z tej paczki i zainstalować "czystą wersję". Program (dla naiwnych) został zaprojektowany, by załadować malware, którego prawdopodobny cel to wyciągnięcie jakiś danych z Tibia (np. dane logowania), a być może innych czułych danych systemu. Po właśnie przeprowadzonym usuwaniu malware należy zmienić dane logowania Tibia, a prewencyjnie także innych serwisów. Wszystko zrobione. Drobny skrypt poprawkowy na szczątki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG CMD: del /q "C:\Users\FruGo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Curse.lnk" CMD: del /q C:\Users\FruGo\Downloads\m1b4p811.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Skrypt pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder "frst" z Pulpitu + pobrany GMER. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko z mojej strony.

Kończymy: 1. Nadal w Google Chrome jest wpis adware. - Zresetuj synchronizację (o ile włączona), by zapobiec odtwarzaniu złych ustawień z serwera: KLIK. - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres home.sweetim.com. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu foldery FRST + GMER. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

vs. Żadnych oznak infekcji tego rodzaju tu nie było. Skan Cybertarczy opiera się na ocenie IP, a nie skanie systemu. Orange przydziela zmienne adresy IP. Jest tu prawdopodobne, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer.

Widzę że Fix był uruchamiany aż trzy razy. Ten opisywany przestój musiał się wydarzyć na przetwarzaniu linii C:\Users\Adrian_ (niepoprawny folder konta prawdopodobnie utworzony przez adware), gdyż do tej linii wszystko jest "nie znaleziono" (Fix nie przetworzy ponownie tego samego). Kończymy: 1. Nowy profil Google Chrome pomyślnie założony. Jeśli brakuje Ci zakładek, możesz je ewentualnie odzyskać z folderu martwego już pierwotnego profilu Chrome. Zamknij Google Chrome. Przekopiuj plik Bookmarks z folderu: C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default do: C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Profile 2 Uruchom Google Chrome i sprawdź czy zakładki są na miejscu. 2. Następnie przez SHIFT+DEL (omija Kosz) skasuj poniższe foldery z dysku, pierwszy to odpadek fałszywego profilu, a drugi to martwy obiekt: C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default Usuń także C:\uxldrpog.sys od GMER, folder C:\MATS oraz FRST i jego logi z "Nowego folderu" + folder "Frst" na Pulpicie. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj stare wersje (luki prowadzące do infekcji, w tym szyfrujących dane): Adobe Reader 9.3 - Polish, Java 8 Update 71, Java 8 Update 101. Pobieranie najnowszych wersji także w w/w linku.

Wszystko zrobione, ale jeszcze drobne poprawki, bo przetwarzałeś skrypt w momencie gdy go jeszcze korygowałam dodając pewne wpisy (myślałam, że zdążyłam to zrobić przed Twoim przeczytaniem tematu) + usuwanie używanych narzędzi. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "BingSvc" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "svchost0" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\Users\myy\Doctor Web RemoveDirectory: C:\Users\myy\AppData\Roaming\DAEMON Tools Lite RemoveDirectory: C:\Users\myy\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\myy\Desktop\mbar StartBatch: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk" del /q C:\Users\myy\Desktop\RepairDNS.txt del /q C:\Users\myy\Downloads\BootkitRemoval_x64.exe del /q C:\Users\myy\Downloads\bqfvl8xg.exe del /q C:\Users\myy\Downloads\gmer*.txt del /q C:\Users\myy\Downloads\mbam-setup-2.2.1.1043.exe del /q C:\Users\myy\Downloads\mbar-1.09.3.1001.exe del /q C:\Users\myy\Downloads\MicrosoftProgram_Install_and_Uninstall.meta.diagcab del /q C:\Users\myy\Downloads\RepairDNS*.exe del /q C:\Users\myy\Downloads\SPTDinst-v189-x64.exe del /q C:\Users\myy\Downloads\xly9plor.exe del /q C:\WINDOWS\Minidump\*.dmp EndBatch: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Fałszywy Firefox jest prawdopodobnie regenerowany przy udziale zadania "ChelfNotify Task" w Harmonogramie. Fałszywka podstawiła wszystkie skróty Firefox, ustawiła się jako domyślna przeglądarka oraz pracuje na własnym spreparowanym profilu. Ponadto, profil fałszywki został zreplikowany w poprawnej ścieżce prawdziwego Firefoxa i jest tu wymagane nie tylko usunięcie fałszywego FF, ale i przetasowanie profilów prawdziwego. Operacje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware amuleC, UvConverter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKU\S-1-5-21-488659936-1714191775-3546540212-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKU\S-1-5-21-488659936-1714191775-3546540212-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKU\S-1-5-21-488659936-1714191775-3546540212-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKU\S-1-5-21-488659936-1714191775-3546540212-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 Tcpip\..\Interfaces\{69D3E49B-883F-443E-BA62-F558F484AEF6}: [DhcpNameServer] 45.63.123.163 8.8.4.4 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BootExecute: autocheck autochk * aswBoot.exe /M:aae4a41333 /wow /dir:"C:\Program Files\AVAST Software\Avast" MSCONFIG\Services: CommandHandler => 2 MSCONFIG\Services: ed2kidle => 2 MSCONFIG\Services: FirefoxU => 2 MSCONFIG\Services: McComponentHostService => 3 MSCONFIG\Services: MyWiFiDHCPDNS => 3 MSCONFIG\Services: UvConverter => 2 MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup U0 aswVmm; Brak ImagePath Task: {36B8F827-CF6A-42BF-8287-D3422BBA0988} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-09-29] (AVAST Software) Task: {840E3568-D6A9-4A0E-A381-2E4D4C14C554} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\ByteFence C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files\OpenTTD.rar C:\Program Files (x86)\5808DFDD_jumpeasy C:\Program Files (x86)\amuleC C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Firefox C:\Program Files (x86)\UvConverter C:\Program Files (x86)\uvconvrx_00000000 C:\ProgramData\AVAST Software C:\ProgramData\BaofengUpdate_U C:\ProgramData\ChelfNotify C:\ProgramData\chuvc C:\ProgramData\corss C:\ProgramData\hadga C:\ProgramData\UvConverter C:\ProgramData\WCMShare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Lenovo\AppData\Local\Firefox C:\Users\Lenovo\AppData\Roaming\aMule C:\Users\Lenovo\AppData\Roaming\Bongo C:\Users\Lenovo\AppData\Roaming\Firefox C:\Users\Lenovo\AppData\Roaming\TuneUp Software C:\Users\Lenovo\AppData\Roaming\WCMShare C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC C:\Users\Lenovo\Desktop\Mozilla Firefox.lnk C:\Users\Lenovo\Desktop\Old Firefox Data C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Users\Lenovo\Downloads\BongOTS.exe C:\Windows\system32\log C:\Windows\System32\Tasks\AVAST Software C:\Windows\SysWOW64\xaa C:\Windows\SysWOW64\xaabbbbbbb CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Fałszywy Firefox i jego skróty zostały usunięte w/w procedurą, ręcznie odtwórz skróty do prawdziwego Firefoxa. Uruchom go, ustaw jako domyślną przeglądarkę i wyeksportuj zakładki, o ile jest co eksportować... Następnie zamknij Firefox i wywołaj menedżer profilów poprzez klawisz z flagą Windows + R i wklejenie poniższej komendy w polu Uruchom i OK. W menedżerze usuń wszystkie widoczne profile i załóż nowy, zaloguj się na niego. "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Jeden temat nowszy niż Twój został przetworzony (bo w nim była aktywna infekcja i trzeba było działać szybko, by zapobiec załadowaniu większej ilości śmieci), inne były starsze. Ja mam zaległości z całego tygodnia i nie wyrabiam. Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. Logi z FRST zrobiłeś w niepoprawnym środowisku. Zgłoszenie zablokowanej usługi BFE i wielu usług w stanie nierozpoznanym "U" oraz "uszkodzenia WMI" i "niepowodzenie przy listowaniu..." w logu FRST to typowy objaw uruchomienia FRST w piaskownicy COMODO. Musiałeś widzieć zieloną obwódkę naokoło okna FRST. FRST uruchomiony z poziomu piaskownicy COMODO nie działa poprawnie, nie ma dostępu do skanowanych obszarów, a żadnych zmian za jego pomocą nie można prowadzić (są wirtualne i zostaną odkręcone przez COMODO). To uwagi na przyszłość, nowe logi FRST nie są mi tu potrzebne, by ocenić sytuację. Przy okazji, wszystkie logi FRST są w złym kodowaniu ANSI a nie poprawnym UTF-8 - czyżbyś je zapisywał ręcznie do nowych plików? Co to konkretnie oznacza i jakie aplikacje masz na myśli? Czy nie chodzi tu aby o błędy typu "Odmowa dostępu"? W takiej sytuacji oczywiście pierwszy podejrzany to COMODO. ADKOSD2.exe to proces od instalacji "ATK Package" niezbędnej do obsługi touchpada oraz klawiszy funkcyjnych laptopa i tu raczej nic się nie da zdziałać. HKLM-x32\...\Run: [ATKOSD2] => C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [406328 2013-11-20] (ASUSTek Computer Inc.) svchost hostuje dużo usług i należy zdefiniować o które wystąpienie chodzi. Prawoklik na ten konkretny svchost > Przejdź do usług > wypisz podświetlone. Jeśli w zestawie będzie Windows Update, upewnij się że masz zainstalowane te dwie łaty (pierwsza wymagana dla tej drugiej): KB3020369 + KB3172605. Błąd ACMON produkuje zadanie w Harmonogramie od instalacji "ASUS Splendid Video Enhancement Technology": Task: {88F5CD44-9B35-4159-A19A-01EB20EE1FEA} - System32\Tasks\ACMON => C:\Program Files (x86)\ASUS\Splendid\ACMON.exe [2016-10-18] (ASUS) Możliwe postępowanie do wyboru: - Tylko wyłączyć zadanie w Harmonogramie za pomocą przystawki taskschd.msc. - Kompletnie odinstalować tę aplikację, to jest Asusowe "polepszanie jakości ekranu" i nie jest niezbędne. Status i wymuszanie powinny być dostępne z poziomu panelu sterowania Nvidia. Sprawdź czy masz opcję podobną do tej która pokazuje które GPU jest w użyciu: KLIK.

Problemem nie jest infekcja, temat przenoszę do działu Hardware na diagnostykę dysku: "4 KB w uszkodzonych sektorach" może być przyczyną zawieszeń oraz błędów w Dzienniku zdarzeń sugerujących uszkodzenie określonych obiektów: Dostarcz materiały pod kątem sprzętowym: KLIK. Gdy się okaże, że jest tu sens inwestować w dalsze czyszczenie: Ten problem rozwiązuje instalacja KB3172605. By móc tę łatę zaaplikować, należy się upewnić czy w systemie jest aktualizacja KB3020369. W przypadku gdy próba instalacji głównej łaty uruchamia ponownie długie wyszukiwanie Windows Update, należy ubić tymczasowo proces Windows Update i przełączyć typ startowy usługi, i po tym ponowić instalację z dysku. Następnie po instalacji uruchomić Windows Update i załadować wszystkie istotne aktualizacje. Może być ich sporo, co sugeruje stara niewspierana już wersja IE10 figurująca w nagłówku raportu FRST. Są tu owszem ślady adware, w tym przekonwertowana przez adware przeglądarka Google Chrome (z wersji stabilnej na deweloperską bez ograniczeń). Niemniej to są rzeczy skali mikro (głównie w formie odpadkowej) i nie mogą powodować opisywanych objawów. W spoilerze doczyszczanie szczątków adware, odinstalowanych aplikacji, artefaktów wstawionych przez ComboFix, uszkodzonego sterownika SPTD (od odinstalowanego DAEMON Tools Lite) oraz innych pustych wpisów:

Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

W wynikach wyszukiwania rejestru nie ma nic powiązanego z tor. Natomiast na dysku powstał niepożądany plik od zadania w Harmonogramie. Poproszę o nowe raporty z FRST (FRST.txt i Addition.txt).

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Temat wydzielony w osobny. Dostacz wymagane logi: KLIK.

Nie, absolutnie nic złego nie zrobiłeś. Ja po prostu mówię, że instrukcje które muszę tu przygotować wymagają więcej czasu, a ja go nadal nie mam (po nieobecności muszę się zająć tematami w których w ogóle nie udzieliłam odpowiedzi).

Problem ze skrótami powoduje infekcja zaszyta we WMI systemowym, skrypt tam osadzony w predefiniowanych odstępach czasu reinfekuje wszystkie skróty przeglądarek. Ale to nie jedyne problemy z adware - są tu też aktywne obiekty malware w Print Providers, samoistne autoryzacje malware w programach antywirusowych i różne inne śmieci. Operacje do wdrożenia: 1. Deinstalacje: - Klawisz z flagą Windows + X >Programy i funkcje > odinstaluj potwornie stary Adobe Reader 6.0 CE. To niebezpieczna wersja, dziurawa jak sito, silne zagrożenie infekcjami (w tym szyfrującymi dane). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń dwa ukryte i zbędne śledzące programy Lenovo: Metric Collection SDK + Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\myy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\myy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\myy\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\myy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\myy\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\myy\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ HKLM\...\Providers\6s0rrtre: C:\drivers\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\7cex2nn0: C:\Gry\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\8cisg264: C:\Fifa\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\9f3te1cv: C:\Users_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\9pfsretp: C:\Program Files (x86)\\local64spl.dll HKLM\...\Providers\hnq3zruc: C:\\local64spl.dll HKLM\...\Providers\hofdfux9: C:\drivers_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\j2kuhb1x: C:\Program Files (x86)_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\mwyc24vk: C:\_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\o4v17d23: C:\Downloads\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\qiybsgh4: C:\Downloads_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\qjevioom: C:\Gry_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\sm8iznf8: C:\Users\\local64spl.dll HKLM\...\Providers\xul8d7gf: C:\Fifa_\local64spl.dll [143360 2016-10-19] () HKU\S-1-5-18\...\Run: [] => 0 HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "BingSvc" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "svchost0" NETSVCx32: HpSvc -> Brak ścieżki do pliku. S0 mfeelamk; C:\WINDOWS\System32\drivers\mfeelamk.sys [82072 2015-08-10] (McAfee, Inc.) TasksDetails: Task: {03F68544-AA8E-45C8-AA0F-C92BA9123BE5} - System32\Tasks\psv_Fax-Bam => /c regedit.exe /s "C:\ProgramData\Quoteex\Alphaex.reg" & del "C:\ProgramData\Quoteex\Alphaex.reg" & SCHTASKS /Delete /TN "psv_Fax-Bam" /F Task: {0524F820-0A67-468A-AEBA-D0E1FD8242F9} - System32\Tasks\psv_IceTech => /c regedit.exe /s "C:\ProgramData\Quoteex\Geocom.reg" & del "C:\ProgramData\Quoteex\Geocom.reg" & SCHTASKS /Delete /TN "psv_IceTech" /F Task: {1C73827B-871E-4E83-95C3-01952B7E73FB} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {1FF7AD7D-329A-48AE-9688-9E646A9BF294} - System32\Tasks\psv_GreenDom => /c regedit.exe /s "C:\ProgramData\Quoteex\Soncof.reg" & del "C:\ProgramData\Quoteex\Soncof.reg" & SCHTASKS /Delete /TN "psv_GreenDom" /F Task: {42AB9ED0-ED66-4C75-B9F4-472D57E22F02} - System32\Tasks\psv_Movehome => /c regedit.exe /s "C:\ProgramData\Quoteex\Hometom.reg" & del "C:\ProgramData\Quoteex\Hometom.reg" & SCHTASKS /Delete /TN "psv_Movehome" /F Task: {560A7581-DF99-4679-8E13-466E1266DCB4} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {5CFA38CE-0B6C-4321-A11A-04FC1CC17661} - System32\Tasks\psv_Softtip => /c regedit.exe /s "C:\ProgramData\Quoteex\PhysZuming.reg" & del "C:\ProgramData\Quoteex\PhysZuming.reg" & SCHTASKS /Delete /TN "psv_Softtip" /F Task: {651CB129-AD5D-4180-BF30-07E56A0835C7} - System32\Tasks\{2A362A6F-E012-4DA8-9D3D-8A8EB6FE6CE3} => pcalua.exe -a E:\dx9\dxsetup.exe -d E:\dx9 Task: {67C00B66-FB41-453A-8A65-932C09A08F77} - System32\Tasks\psv_Superlax => /c regedit.exe /s "C:\ProgramData\Quoteex\Hat-Dox.reg" & del "C:\ProgramData\Quoteex\Hat-Dox.reg" & SCHTASKS /Delete /TN "psv_Superlax" /F Task: {68F04126-57D8-495F-AD1D-332AA7372046} - System32\Tasks\Plavey Agent => C:\Program Files (x86)\Preniy\arakut.exe [2016-10-14] (Glarysoft Ltd) Task: {859C57B7-D9A9-4ADC-86AA-4620DAE93ACE} - System32\Tasks\93aa3668456c544e837b18bf555c602f => Rundll32.exe "C:\Program Files (x86)\mpck\hv6bg8.dll",e62dc6c6547f46bda862da2d05af6862 Task: {89B18B47-FB9B-490E-8798-B3692648FBBC} - System32\Tasks\psv_Qvola => /c regedit.exe /s "C:\ProgramData\Quoteex\Rannix.reg" & del "C:\ProgramData\Quoteex\Rannix.reg" & SCHTASKS /Delete /TN "psv_Qvola" /F Task: {B28A99A7-765F-4B9F-BFDF-186EF499F97A} - System32\Tasks\psv_Ranktone => /c regedit.exe /s "C:\ProgramData\Quoteex\GoldDonlight.reg" & del "C:\ProgramData\Quoteex\GoldDonlight.reg" & SCHTASKS /Delete /TN "psv_Ranktone" /F Task: {C02A7478-054F-4712-B077-A45C846836DD} - System32\Tasks\psv_Stanity => /c regedit.exe /s "C:\ProgramData\Quoteex\NewCom.reg" & del "C:\ProgramData\Quoteex\NewCom.reg" & SCHTASKS /Delete /TN "psv_Stanity" /F Task: {DA9741AD-0F09-464F-95D9-F44EB0294894} - System32\Tasks\psv_Tipfresh => /c regedit.exe /s "C:\ProgramData\Quoteex\Tranex.reg" & del "C:\ProgramData\Quoteex\Tranex.reg" & SCHTASKS /Delete /TN "psv_Tipfresh" /F Task: {E6CEEBF6-4A7B-4F46-9A9C-BCB071C80475} - System32\Tasks\psv_TrippleDublux => /c regedit.exe /s "C:\ProgramData\Quoteex\K-air.reg" & del "C:\ProgramData\Quoteex\K-air.reg" & SCHTASKS /Delete /TN "psv_TrippleDublux" /F CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{749716AD-5C7B-4C25-BD02-92EE9F1572E1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\_ C:\Downloads_ C:\drivers_ C:\Fifa_ C:\Gry_ C:\Program Files (x86)_ C:\Program Files (x86)\local64spl.dll.ini C:\Program Files (x86)\Atabickcherjertain C:\Program Files (x86)\Preniy C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\TOSTACK C:\Users_ C:\Users\local64spl.dll.ini C:\Users\myy\AppData\Local\{2EDFA256-042A-4627-820B-F631D48896BF} C:\Users\myy\AppData\Local\{550BB3CD-3C8E-4726-AB1B-8891EEBDB36A} C:\Users\myy\AppData\Local\BTServer.log C:\Users\myy\AppData\Local\CEF C:\Users\myy\AppData\Local\Kurery C:\Users\myy\AppData\Local\Pojuwardperciied C:\Users\myy\AppData\Local\svchost C:\Users\myy\AppData\Local\Tempfolder C:\Users\myy\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\myy\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\myy\AppData\LocalLow\Company C:\Users\myy\AppData\LocalLow00729AB0 C:\Users\myy\AppData\LocalLow00D31640 C:\Users\myy\AppData\LocalLow00D57000 C:\Users\myy\AppData\LocalLow00E0C958 C:\Users\myy\AppData\LocalLow011042E0 C:\Users\myy\AppData\LocalLow0130C380 C:\Users\myy\AppData\LocalLow00000016036BCDD8 C:\Users\myy\AppData\LocalLow0000005C533ACCE8 C:\Users\myy\AppData\LocalLow0000008A5347C598 C:\Users\myy\AppData\LocalLow00000090E826A078 C:\Users\myy\AppData\LocalLow00000098487AA3B8 C:\Users\myy\AppData\LocalLow0000009F11E2A3B8 C:\Users\myy\AppData\Roaming\*.* C:\Users\myy\AppData\Roaming\Arosphernoph C:\Users\myy\AppData\Roaming\DAEMON Tools Lite C:\Users\myy\AppData\Roaming\Microleaves C:\Users\myy\AppData\Roaming\Mozilla C:\Users\myy\AppData\Roaming\WarThunder C:\Users\myy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Public\Desktop\Opera.lnk C:\Users\Public\Thunder Network C:\WINDOWS\system32\dihn C:\WINDOWS\System32\drivers\mfeelamk.sys C:\WINDOWS\SysWOW64\kz.exe C:\WINDOWS\SysWOW64\Number of results Folder: C:\Users\myy\AppData\Local\Apps\2.0 CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Są tu ślady malware manipulującego w wykluczeniach programów antywirusowych. Sztucznie dorobione do Windows Defender i nieistniejących programów AVG i Avira już zaadresowane w/w skryptem. Inna sprawa jest jednak z zainstalowanym i aktywnym Avast - nie można usunąć ani zmanipulować jego pliku exclusions.ini, gdy jest aktywny. Dlatego też musisz ręcznie w konfiguracji Avast sprawdzić listę wykluczeń i usunąć z niej wszystko. 4. Usunięte skróty Opera odtwórz ręcznie w wybranych miejscach. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Temat nie został ominięty. Nie mogłam być aktywna przez ostatni tydzień, a teraz nie jestem w stanie przygotować tych instrukcji w obliczu tematów które jeszcze w ogóle nie zostały przetworzone.

Tak jak w przypadku innych tematów, zero oznak infekcji szyfrującej dane. Diagnoza tarczy jest wynikiem oceny IP a nie rzetelnego skanu systemu. PS. Możesz wykonać drobne poboczne działania: 1. Odinstaluj zbędny "downloader" Akamai oraz stare wersje JDK: Akamai NetSession Interface, Java SE Development Kit 7 Update 79 (64-bit), Java SE Development Kit 8 Update 51 (64-bit). 2. W Firefox odinstaluj rozszerzenia: Auto Refresh (bardzo stara wersja z 2011 i nie działa poprawnie), BlockSite (to spyware marki Wips.com: KLIK), PopVideo (reklamy i problemy z prywatnością: KLIK), SkipScreen (wątpliwej reputacji i już dawno porzucone: KLIK), uBlock (to gorsza nierozwijana już wersja: KLIK). Adblock Plus też nie jest Ci potrzebny przy uBlock Origgin. 3. Usunięcie szczątkowych wpisów (w tym pustych skrótów) i czyszczenie Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Restriction HKU\S-1-5-21-2425397994-473716014-1509793327-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\02494708.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\29158755.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\02494708.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\29158755.sys => ""="Driver" S3 dtlitescsibus; C:\Windows\System32\drivers\dtlitescsibus.sys [30264 2015-11-04] (Disc Soft Ltd) S3 TesSafe; C:\Windows\system32\TesSafe.sys [1101024 2016-06-03] (TENCENT) S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] MSCONFIG\Services: Disc Soft Lite Bus Service => 3 MSCONFIG\Services: BstHdAndroidSvc => 3 MSCONFIG\Services: BstHdLogRotatorSvc => 3 MSCONFIG\Services: BstHdUpdaterSvc => 3 MSCONFIG\Services: Droid4XService => 2 MSCONFIG\Services: SbieSvc => 2 MSCONFIG\Services: Service KMSELDI => 2 MSCONFIG\Services: TeamViewer => 2 HKLM\...\StartupApproved\Run32: => "Aeria Ignite" HKLM\...\StartupApproved\Run32: => "BlueStacks Agent" HKLM\...\StartupApproved\Run32: => "EaseUS EPM tray" HKLM\...\StartupApproved\Run32: => "ISCT Tray" HKLM\...\StartupApproved\Run32: => "VX1000" HKLM\...\StartupApproved\Run32: => "EaseUS Cleanup" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\StartupFolder: => "CurseClientStartup.ccip" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\StartupFolder: => "AudioSwitch.lnk" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "FlashGet 3" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "Akamai NetSession Interface" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "SandboxieControl" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "GalaxyClient" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "FlashPlayerUpdate" C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert Online.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Extras\AutoItX\VBScript Examples.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Desert Online C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberStep, Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dark Souls III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V\Play Grand Theft Auto V.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NARUTO SHIPPUDEN Ultimate Ninja STORM 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SQUARE ENIX\FINAL FANTASY XIV - A Realm Reborn C:\Users\Adrian\AppData\Local\FluxSoftware C:\Users\Adrian\AppData\Roaming\DAEMON Tools Lite C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\BlueStacks.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AeriaGames C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\qhrxejcq.default\searchplugins C:\Windows\system32\TesSafe.sys C:\Windows\System32\drivers\dtlitescsibus.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Tak, tu tylko zostało zastosowanie DelFix i czyszczenie folderów Przywracania systemu, które są opisane w przyklejonym. Temat rozwiązany. Zamykam.

Działania do wykonania: 1. Odinstaluj stare wersje z lukami (zagrożenie infekcjami szyfrującymi dane): Adobe Flash Player ActiveX, Java 8 Update 40 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {151EFC16-39A7-4F10-9E2C-7443113F71BD} - System32\Tasks\bartek => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v bartek /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" HKU\S-1-5-21-2363649901-2762790907-3881788747-1000\...\Run: [bartek] => explorer.exe hxxp://kb-ribaki.org MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] CHR HomePage: Default -> hxxp://home.sweetim.com/?crg=3.1010000.10011&barid={FFFE29A2-FA82-11E1-AB85-001FD0928058} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda.net Launcher\Bethesda.net Launcher.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Core Design\Tomb Raider - The Last Revelation\Lara Merchandise.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Core Design\Tomb Raider - The Last Revelation\Eidos Net\Install Eidos Net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\Users\bartek\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\bartek\AppData\Local\Microsoft\Windows\GameExplorer\{AF00D60D-02F5-4A22-93D2-AE7B677ABEA9} C:\Users\bartek\AppData\Local\Microsoft\Windows\GameExplorer\{6FA4E3F0-3F61-4A4A-A8D1-D8F35F3CAB31} CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Brak poprawy, bo skrypt FRST w ogóle nie wykonany. Otwórz plik Fixlog - żadna z linii nie przetworzona. Czy Fix został ręcznie przerwany, a może FRST "przestał działać"? Wytnij ze skryptu komendę CreateRestorePoint:, następnie powtórz punkt 2 z poziomu Trybu awaryjnego Windows, po tym przejdź w Tryb normalny i dostarcz świeże logi.

Po tytułowym programie widać tylko jeden odpadkowy katalog C:\ProgramData\AMMYY i to nie ma znaczenia. Ale w systemie są inne grubsze problemy, czyli infekcje adware (Lightzap, PriceFountain i problemy w obu przeglądarkach). Do usunięcia będą też różne puste wpisy. Operacje do przeprowadzenia: 1. Problemy w przeglądarkach: - Jest tu zdefektowane przez adware Google Chrome (zmodyfikowane biblioteki DLL). Wymagana reinstalacja od zera. Odinstaluj całkowicie przeglądarkę. Przy deinstalacji zaznacz Usuń także dane przeglądarki. - W Firefox odinstaluj rozszerzenia Abduction! i Youtube Downloader - 4K Download, wbudowane adware: KLIK, KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Lightzap\Canranplus.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Lightzap\FreshSolosing.dll => C:\ProgramData\Lightzap\FreshSolosing.dll [257536 2016-02-14] () Task: {002D098A-BCAF-4289-84B3-8050DCB7541A} - System32\Tasks\{285C313D-328A-41FB-9361-304B2A15B5A4} => pcalua.exe -a C:\Users\piotr\AppData\Roaming\uTorrent\uTorrent.exe -c /UNINSTALL Task: {26F8BE0E-9C46-4CEA-ABD7-8B672E613E40} - System32\Tasks\psv_DonTraxfresh => /c regedit.exe /s "C:\ProgramData\Lightzap\ZaamIng.reg" & del "C:\ProgramData\Lightzap\ZaamIng.reg" & SCHTASKS /Delete /TN "psv_DonTraxfresh" /F Task: {3B165D12-2431-4064-83CE-F4E78FBE6596} - System32\Tasks\psv_Keyzimex => /c regedit.exe /s "C:\ProgramData\Lightzap\Trustlight.reg" & del "C:\ProgramData\Lightzap\Trustlight.reg" & SCHTASKS /Delete /TN "psv_Keyzimex" /F Task: {3B7133F7-7211-415F-8E10-57D4CA7C4B6C} - System32\Tasks\psv_Tamptough => /c regedit.exe /s "C:\ProgramData\Lightzap\HotRon.reg" & del "C:\ProgramData\Lightzap\HotRon.reg" & SCHTASKS /Delete /TN "psv_Tamptough" /F Task: {589E0B95-1E7C-4931-9485-7C0017408114} - System32\Tasks\piotrMuggeredIntroducerV2 => Rundll32.exe CurrycombShitted.dll,main 7 1 Task: {5A63ED82-8231-45E8-AF59-550914F2AB91} - System32\Tasks\{4A1F0962-D810-4AA2-A6C5-D337975D404E} => pcalua.exe -a C:\Users\piotr\Desktop\PhotoshopPortable.exe -d C:\Users\piotr\Desktop Task: {5BE9E27F-32A6-4FE8-B11F-801A24F9041E} - System32\Tasks\{A204B87F-3957-4DB8-AF84-F4ACEAFAD3EF} => pcalua.exe -a F:\PhotoshopPortable.exe -d F:\ Task: {75EDCA7A-8EA9-4EBA-9BA3-47C28396F86F} - System32\Tasks\psv_GrooveDox => /c regedit.exe /s "C:\ProgramData\Lightzap\LexiLotdom.reg" & del "C:\ProgramData\Lightzap\LexiLotdom.reg" & SCHTASKS /Delete /TN "psv_GrooveDox" /F Task: {7DC71B45-FA0A-4683-B362-A9F52D82A95E} - System32\Tasks\{1DC029F8-443C-406A-8220-4A99BF14DA4D} => pcalua.exe -a C:\Users\piotr\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {81E8817A-F423-456D-B159-F8C6BD073B77} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: {AF685482-7468-4E8D-84FE-CA50270BC826} - System32\Tasks\{380B4E25-1B68-1CA5-C522-172CD713D6CC} => C:\Users\piotr\AppData\Roaming\PriceFountainUpdateVer\Updater.exe [2013-04-20] () Task: {C0F10817-6021-40D2-AB08-D377E395BFCD} - System32\Tasks\piotrTraumatologiesSalivaryV2 => Rundll32.exe NeutralizationsProcedurals.dll,main 7 1 Task: {C8E3BC61-C001-48D2-9116-2CE98AFBA737} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {D9C779BB-EC8F-45C4-BB27-474FCD07F145} - System32\Tasks\Driver Booster SkipUAC (piotr) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {DEF3926A-8806-47E4-BCE1-B109B4E409CA} - System32\Tasks\psv_Coftech => /c regedit.exe /s "C:\ProgramData\Lightzap\Tempin.reg" & del "C:\ProgramData\Lightzap\Tempin.reg" & SCHTASKS /Delete /TN "psv_Coftech" /F Task: {F74D8A2B-3F63-4ACB-AE3C-CA6173F345CB} - System32\Tasks\{5DBABE6C-0B5A-4775-B6A3-5E360D8B45EC} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\setup.exe" -c -runfromtemp -removeonly Task: {FBF1FFAE-464D-4AFB-B482-8832A0ECD59F} - System32\Tasks\{A4E11ADD-5F8A-4B7F-B362-87570EBFD544} => pcalua.exe -a "E:\Total Media\Setup.exe" -d "E:\Total Media" Task: {FDFA9572-8EB2-4A2B-9EEE-EC9B56284377} - System32\Tasks\piotrOreDrainedV2 => Rundll32.exe LecturedCompels.dll,main 7 1 Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\{380B4E25-1B68-1CA5-C522-172CD713D6CC}.job => C:\Users\piotr\AppData\Roaming\PRICEF~1\Updater.exe S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit) S2 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\...\Run: [AdobeAAMUpdater-1.0] => "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" HKU\S-1-5-21-4203839743-1770721236-564859656-1000\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_23_0_0_162_pepper.exe -update pepperplugin FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] FF Plugin-x32: @messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6 -> C:\Program Files (x86)\Yahoo!\Shared\npYState.dll [2012-05-25] (Yahoo! Inc.) FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [brak pliku] FF user.js: detected! => C:\Users\piotr\AppData\Roaming\Mozilla\Firefox\Profiles\50s4jlvj.default\user.js [2015-12-16] FF NewTab: Mozilla\Firefox\Profiles\50s4jlvj.default -> FF DefaultSearchUrl: Mozilla\Firefox\Profiles\50s4jlvj.default -> hxxp://search.yahoo.com/search?fr=mkg030&p= FF SelectedSearchEngine: Mozilla\Firefox\Profiles\50s4jlvj.default -> Yahoo FF Keyword.URL: Mozilla\Firefox\Profiles\50s4jlvj.default -> hxxp://search.yahoo.com/search?fr=mkg030&p= HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-4203839743-1770721236-564859656-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4203839743-1770721236-564859656-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4203839743-1770721236-564859656-1000 -> {DECA3892-BA8F-44b8-A993-A466AD694AE4} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=mkg028 SearchScopes: HKU\S-1-5-21-4203839743-1770721236-564859656-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: Brak nazwy -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] AlternateDataStreams: C:\ProgramData\Dane aplikacji:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] C:\Program Files (x86)\IObit C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\AMMYY C:\ProgramData\fenoccnhiaidjfmjmfodlmdfolakgdgb C:\ProgramData\Lightzap C:\ProgramData\ProductData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Application Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD X Player 5.5 Professional C:\Users\piotr\AppData\Local\housecall.guid.cache C:\Users\piotr\AppData\Local\Temp-log.txt C:\Users\piotr\AppData\Local\MuggeredIntroducer C:\Users\piotr\AppData\Local\Opera Software C:\Users\piotr\AppData\Local\OreDrained C:\Users\piotr\AppData\Roaming\*.* C:\Users\piotr\AppData\Roaming\Opera Software C:\Users\piotr\AppData\Roaming\PriceFountainUpdateVer C:\Users\piotr\AppData\Roaming\ProductData C:\Users\piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\piotr\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence C:\Users\piotr\AppData\Roaming\Mozilla\Firefox\Profiles\50s4jlvj.default\searchplugins C:\Users\Public\Desktop\Adobe Application Manager.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.