picasso

Hmmm, a jaki błąd widzisz? W raportach nie widać żadnych oznak czynnej infekcji... Ale system jest kompletnie nieaktualizowany i na dodatek scrackowany, manipulacje z aktywacją: S2 TimerStop; C:\Windows\SysWOW64\TimerStop.sys [4096 2006-12-18] () [File not signed] Na razie: 1. Na próbę odinstaluj całkowicie Panda Cloud Antivirus, Panda Security URL Filtering i sprawdź jakie to ma rezultaty. Odinstaluj też stare dziurawe niebezpieczne aplikacje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.0.1, Java™ 6 Update 20. 2. Doczyść wpisy szczątkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: AV: Trend Micro Internet Security (Disabled - Up to date) {48929DFC-7A52-A34F-8351-C4DBEDBD9C50} AS: Trend Micro Internet Security (Disabled - Up to date) {F3F37C18-5C68-ACC1-B9E1-FFA9963AD6ED} S2 TimerStop; C:\Windows\SysWOW64\TimerStop.sys [4096 2006-12-18] () [File not signed] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesDriver64.sys [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-1912194083-1325834090-934441682-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-1912194083-1325834090-934441682-1000\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0 Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TorpedoCopy.lnk Task: {0C102F9E-9437-4842-9F1B-B34D75E8353A} - System32\Tasks\{07283C7A-FC79-4C1C-B284-8EEDE3AB860B} => Chrome.exe Task: {2F06CDA8-5C86-4AAD-BF1A-1FAF484D0AB7} - System32\Tasks\{1F7CE098-1D91-4EBE-B4E0-B6A1CBF29BE8} => Chrome.exe Task: {3A392F85-614C-4277-8A1A-2C3B56127611} - System32\Tasks\{60C95E64-B2B6-47F4-8DAF-5B5EED98F94A} => Chrome.exe Task: {A18C9D1D-FB34-4122-9EE8-DB92029268D7} - System32\Tasks\{7DB585FC-EDED-4757-BAD8-74C0585276F7} => Chrome.exe Task: {B19E2FD7-5C77-494D-89B9-8B84C5127490} - System32\Tasks\{ECB57B04-CBDF-46A2-AC97-F028EFD15F52} => Chrome.exe Task: {B7D99AD0-FC9E-4F59-86B7-E5B4CA93E400} - \{70C8B7F6-41C8-460D-BDE6-F4FA759B6DCD} No Task File Task: {BE156545-6A2C-455C-9C3F-E33E8AB90227} - \{89502FA8-E06D-4210-86EE-F883508F65ED} No Task File Task: {FDEF212A-848A-4BEF-9698-FA0F8DE7EE8A} - \{E8A1E74E-FA56-4221-B97E-E50BA4D5B9A4} No Task File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Kamil\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://pandasecurity.mystart.com/results.php?gen=ms&pr=vmn&id=pandasecuritytb&v=4_1&ent=ch_653&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\ProgramData\rvlkl C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Roaming\Acymit C:\Users\Kamil\AppData\Roaming\AudioConverterPackages C:\Users\Kamil\AppData\Roaming\Fyagmo C:\Users\Kamil\AppData\Roaming\Mexo C:\Users\Kamil\AppData\Roaming\Mipony C:\Users\Kamil\AppData\Roaming\MiponyDownloadManagerPackages C:\Users\Kamil\AppData\Roaming\Mozilla C:\Users\Kamil\AppData\Roaming\Nazoo C:\Users\Kamil\AppData\Roaming\Search The Web C:\Windows\pss\Empty.pif.Startup C:\Windows\SysWOW64\TimerStop.sys CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Audio Converter Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Mipony Download Manager Packages" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xrhir" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i wypowiedz co się dzieje. .

Dwie komendy nie zostały przetworzone w skrypcie, bo przekleiłeś tagi formatujące forum. I Brontok wrócił.... Poproszę o uzupełnienie też głównego raportu FRST.txt i zaczynamy od początku..

Na tyle na ile widać z raportów, infekcja została usunięta (brak punktów ładowania). Robiłeś też skany na poprzednim forum, więc tego kroku już nie powtarzam.

Wszystko zrobione. Znasz już tę sekwencję, więc na koniec akcje z przyklejonego: KLIK.

Zadanie wykonane. Kończymy: 1. Skasuj używane narzędzia z folderu C:\Users\Ninos\Desktop\pen, następnie popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Java 7 Update 55 do najnowszej wersji. To tyle.

O jakich pozostałościach / w którym miejscu mowa? Nie znam żadnego automatu precyzyjnie wykrywającego w rejestrze oraz na dysku fragmenty już odinstalowanych programów, których instalacji uprzednio nie monitorowano (np. moduł w komercyjnym Revo Uninstaller lub coś podobnego). W poniższym skrypcie usunę szczątkowe foldery odinstalowanych programów (te które widać w raportach), a resztę to już ręcznie dokasuj. Nie notuję żadnych oznak infekcji. Usuń tylko puste wpisy i przeczyść lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO: No Name -> {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM - No Name - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - No File FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File FF NetworkProxy: "http", "79.170.50.25" FF NetworkProxy: "http_port", 80 FF NetworkProxy: "type", 0 S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] Startup: C:\Users\Kornel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7 Sticky Notes.lnk Task: {2C0AD931-9659-49A4-9D21-930C43797DE0} - System32\Tasks\{50AD534E-924C-4C95-B561-10BD51A968B0} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsPlugin Task: {E4C96304-BBD0-49CD-B0C3-133CAC4C04AA} - System32\Tasks\{E108001D-C0B5-499A-B09E-BCE8CB0117E7} => Chrome.exe http://ui.skype.com/ui/0/5.8.0.156.259/en/abandoninstall?page=tsMain AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFPTJTG6HVPW9RX1V0KFB7VSVY6HFSVF7VBCVP4GV AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_SBXNV9VVGV1BFPTJTG6HVPW9RX1V0KFB7VSVY6HFSVF7VBCVP4GV AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_SBXNV9VVGV1BFPTJTG6HVPW9RX1V0KFB7VSVY6HFSVF7VBCVP4GV AlternateDataStreams: C:\ProgramData\Dane aplikacji:$SS_DESCRIPTOR_SBXNV9VVGV1BFPTJTG6HVPW9RX1V0KFB7VSVY6HFSVF7VBCVP4GV AlternateDataStreams: C:\ProgramData\Microsoft:CMTVRQzel8ixyFt4axbxJPQ AlternateDataStreams: C:\ProgramData\Microsoft:DGuAVnOYfMQSgEaAEtWzU C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\Fraps C:\ProgramData\.811261211181235583101118113995 C:\ProgramData\AVAST Software C:\ProgramData\Stardock C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crusader Kings II 1091 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Scraper FootPrint Finder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HI Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hooligans C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Piranha Bytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Portal C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Radical Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rome - Total War C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RTRVII C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedBit Video Accelerator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Users\Kornel\AppData\Local\{*} C:\Users\Kornel\AppData\Local\ns0 C:\Users\Kornel\AppData\Local\Stardock C:\Users\Kornel\AppData\Roaming\Metin2_Multibot.cfg C:\Users\Kornel\AppData\Roaming\.anki C:\Users\Kornel\AppData\Roaming\.matplotlib C:\Users\Kornel\AppData\Roaming\.minecraft C:\Users\Kornel\AppData\Roaming\.mineshaftersquared C:\Users\Kornel\AppData\Roaming\.wtw C:\Users\Kornel\AppData\Roaming\0ad C:\Users\Kornel\AppData\Roaming\7 Sticky Notes C:\Users\Kornel\AppData\Roaming\Ashampoo C:\Users\Kornel\AppData\Roaming\AVG2013 C:\Users\Kornel\AppData\Roaming\Canneverbe Limited C:\Users\Kornel\AppData\Roaming\DAEMON Tools Lite C:\Users\Kornel\AppData\Roaming\DeviceDoctorSoftware C:\Users\Kornel\AppData\Roaming\DMCache C:\Users\Kornel\AppData\Roaming\DVDVideoSoft C:\Users\Kornel\AppData\Roaming\Easeware C:\Users\Kornel\AppData\Roaming\EurekaLog C:\Users\Kornel\AppData\Roaming\FileZilla C:\Users\Kornel\AppData\Roaming\fizzy C:\Users\Kornel\AppData\Roaming\fltk.org C:\Users\Kornel\AppData\Roaming\fofix C:\Users\Kornel\AppData\Roaming\Gadu-Gadu 10 C:\Users\Kornel\AppData\Roaming\Grupa IMAGE C:\Users\Kornel\AppData\Roaming\homebank C:\Users\Kornel\AppData\Roaming\IDM C:\Users\Kornel\AppData\Roaming\Leadertech C:\Users\Kornel\AppData\Roaming\MarketSamurai.6E37012E1CBD7F47B14488FCC715944F3EBDCEDC.1 C:\Users\Kornel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband [by iMortaluz].lnk C:\Users\Kornel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mount&Blade Napoleonic Wars [by iMortaluz].lnk C:\Users\Kornel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DoubleGames C:\Users\Kornel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IVMP C:\Users\Kornel\AppData\Roaming\Mipony C:\Users\Kornel\AppData\Roaming\Mount&Blade Warband C:\Users\Kornel\AppData\Roaming\Mount&Blade With Fire and Sword C:\Users\Kornel\AppData\Roaming\NuGet C:\Users\Kornel\AppData\Roaming\OpenOffice.org C:\Users\Kornel\AppData\Roaming\Opera C:\Users\Kornel\AppData\Roaming\PrimoPDF C:\Users\Kornel\AppData\Roaming\Sincell C:\Users\Kornel\AppData\Roaming\Stardock C:\Users\Kornel\AppData\Roaming\Stereoscopic Player C:\Users\Kornel\AppData\Roaming\Subversion C:\Users\Kornel\AppData\Roaming\The Creative Assembly C:\Users\Kornel\AppData\Roaming\TuneUp Software C:\Users\Kornel\AppData\Roaming\Tunngle C:\Users\Kornel\AppData\Roaming\UBot Studio C:\Users\Kornel\AppData\Roaming\wargaming.net C:\Users\Kornel\AppData\Roaming\Warner Bros. Interactive Entertainment C:\Users\Kornel\AppData\Roaming\XBMC C:\Users\Kornel\AppData\Roaming\XRay Engine C:\Users\Kornel\AppData\Roaming\ZJMedia C:\Windows\grep.exe C:\Windows\MBR.exe C:\Windows\PEV.exe C:\Windows\sed.exe C:\Windows\zip.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeCS6ServiceManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. 1. Pierwszy podejrzany w takich przypadkach to program zabezpieczający, tu COMODO Internet Security. Odinstaluj na próbę i sprawdź jakie to ma skutki. Przy okazji na trwałe odinstaluj Surfing Protection od IOBit, marka nie budzi zaufania. 2. Następnie do wykonania pełna aktualizacja Windows, bo jest tu golusieńki Windows 7 (brak SP1, IE11 i reszty łat): Platform: Microsoft Windows 7 Ultimate (X86) OS Language: Polski (Polska) Internet Explorer Version 9 Nie podałeś jaki błąd. Odmowa dostępu, inny? PS. Gdy odinstalujesz COMODO i Surfing Protection, wykonaj skrypt kosmetyczny usuwający wpisy szczątkowe: .

Z klawiatury kombinacja klawisz z flagą Windows + X > Zarządzanie komputerem > Usługi i aplikacje > Usługi. Na liście dwuklik na Dostawca kopiowania w tle oprogramowania firmy Microsoft i Typ uruchomienia zmień na Ręczny. Ponów próbę tworzenia punktu Przywracania systemu.

Wsystko zrobione. Wymagane poprawki: 1. W Operze jest także adware. Otwórz interfejs Rozszerzeń i odinstaluj iWebar, Senses. 2. Otwórz Notatnik i wklej w nim: S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] C:\Program Files (x86)\Temp C:\ProgramData\boost_interprocess C:\ProgramData\Doctor Web C:\ProgramData\install_clap C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Symantec C:\Users\Ninos\Doctor Web C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Extensions\Temp RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt i opisz co się obecnie dzieje w systemie. .

W eksploratorze Windows > Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Poprzednie zadania wykonane. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\majtuto4pc_pl_a1 C:\Program Files (x86)\SaveSenseLive C:\Program Files (x86)\SymSilent C:\ProgramData\~Browser Manager C:\ProgramData\Babylon C:\ProgramData\IBUpdaterService C:\ProgramData\IePluginServices C:\ProgramData\install_clap C:\ProgramData\Mozilla C:\ProgramData\NortonInstaller C:\ProgramData\SaveSenseLive C:\ProgramData\WPM C:\Users\grzegorz\AppData\Local\avgchrome C:\Users\grzegorz\AppData\Local\cache C:\Users\grzegorz\AppData\Local\eorezo C:\Users\grzegorz\AppData\Local\genienext C:\Users\grzegorz\AppData\Local\SaveSenseLive C:\Users\grzegorz\AppData\LocalLow\Claro LTD C:\Users\grzegorz\AppData\LocalLow\Sun C:\Users\grzegorz\AppData\Roaming\Babylon C:\Users\grzegorz\AppData\Roaming\Claro LTD C:\Users\grzegorz\AppData\Roaming\OpenCandy C:\Users\grzegorz\AppData\Roaming\SaveSense C:\Users\grzegorz\AppData\Roaming\WinZipper RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

1. Usuń używane narzędzia z folderu D:\Instalki\Pliki instalacyjne. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK. To nadal sfera spekulacji. Po prostu oprogramowanie zabezpieczające jest inwazyjne i przy notowanych spadkach wydajności / dłuższym starcie jest pierwszym tropem do sprawdzenia. Test ma polegać na tymczasowej deinstalacji daneo programu i sprawdzenie jak działa system pred jakąkolwiek instalacją innego antywirusa. Nie, to nie jest ten typ emulacji o który tu chodzi. .

Tradycyjne kroki końcowe: 1. Usuń używane narzędzia z E:\Pobrane i popraw via DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. Jeśli nadal są jakieś problemy, to już kontynuacja w dziale Hardware, o ile jest taka potrzeba. .

Nawet po resecie przeglądarki? Sprawdź czy coś pomoże zastosowanie narzędzia Google Software removal tool (również wdraża reset ustawień). .

W podanych raportach brak oznak infekcji, ale mam pytanie: czy to rosyjskie proxy w Firefox jest celowym ustawieniem? Przeklej z dziennika ESET w czym tytułowe zagrożenie zostało wykryte (w jakiej ścieżce dostępu), bo sama nazwa nie świadczy o niczym i nie może być użyta do jednoznacznej identyfikacji. PS. Tylko drobniutka kosmetyka do wykonania. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\48265782.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\53364022.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\95676125.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\96126848.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\99585893.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\48265782.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\53364022.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\95676125.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\96126848.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\99585893.sys => ""="Driver" S3 amdiox86; system32\DRIVERS\amdiox86.sys [X] U3 DfSdkS; No ImagePath C:\ProgramData\TEMP CMD: sc config "Mobile Partner. RunOuc" start= demand CMD: type C:\Users\DG\AppData\Roaming\Mozilla\Firefox\Profiles\oldx53dy.default\user.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Na temat używania ComboFix: KLIK. Log już zostaw by było wiadome co robił. Dostosuj się do zasad działu: KLIK. - Dostarcz obowiązkowe tu logi z FRST, OTL i GMER. - Przeklej z dziennika ESET w czym wykrył zagrożenie (konkretna ścieżka dostępu).

Brakuje obowiązkowego GMER. Przed jego uruchomieniem należy się pozbyć sterownika SPTD od emulacji napędów wirtualnych. Proszę o dostarczenie konkretów (raportów) co było usuwane, włącznie z logami z folderu C:\AdwCleaner. Sprawdź czy wniesie coś do sprawy deinstalacja Microsoft Security Essentials. Czekam jeszcze na ten GMER, ale póki co to tu nie widać żadnej czynnej infekcji, tylko szczątki (nieaktywne) w mapowaniu MountPoints2 (historia podpinania przenośnych USB), co nie ma żadnego związku z objawami. Na razie do usunięcia tylko puste wpisy / szczątki po programach: 1. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz po kolei odpadkowe wpisy antywirusów ArcaVir Prerequistes, AVSDK5 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {3657F346-C05A-4948-A21D-163F2C89AEC9} - System32\Tasks\DriverDoc_UPDATES => C:\Program Files\DriverDoc\Solvusoftdd.exe Task: {8B564BB2-4313-452E-AA08-1FAED19592F0} - System32\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar => C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE Task: {95383781-7513-41DB-B985-6E991DC27B8F} - System32\Tasks\ParetoLogic Update Version2 => C:\Program Files\Common Files\ParetoLogic\UUS2\Pareto_Update.exe Task: {B52F4B11-00AF-4ADB-9992-0DCA5E049FF0} - System32\Tasks\DriverDocRunAtStartup => C:\Program Files\DriverDoc\Solvusoftdd.exe Task: {E5FC41AC-8F94-45AC-A1FF-D97891FC4B3D} - System32\Tasks\ParetoLogic Registration => Rundll32.exe "C:\Program Files\Common Files\ParetoLogic\UUS2\UUS.dll" RunUns Task: C:\Windows\Tasks\DriverDoc_UPDATES.job => C:\Program Files\DriverDoc\Solvusoftdd.exe Task: C:\Windows\Tasks\ParetoLogic Registration.job => C:\Program Files\Common Files\ParetoLogic\UUS2\UUS.dll Task: C:\Windows\Tasks\ParetoLogic Update Version2.job => C:\Program Files\Common Files\ParetoLogic\UUS2\Pareto_Update.exe Task: C:\Windows\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar.job => C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE S1 bcazqvnc; \??\C:\Windows\system32\drivers\bcazqvnc.sys [X] S2 eamonm; system32\DRIVERS\eamonm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 MSICDSetup; \??\D:\CDriver.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. CHR HKLM\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Program Files\Google\Chrome\User Data\Default\Extensions\serach.crx [] CHR HKLM\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Program Files\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx [] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\Temp C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\OpenOffice.org 3.1.lnk.Startup C:\Windows\system32\sqlite3.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ABConfSV" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ABMainSV" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ArcaRemoteService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVBackup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVTasks2" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vseamps" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vsedsps" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vseqrts" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vToolbarUpdater10.2.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Jurek^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MDS_Menu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Olympus ib" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pareto_Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickPhrase" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage Search Scope Monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage_4j Browser Plugin Loader" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_dec12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Uwagi wstępne: - Adware nabyte poprzez nieuwagę, instalator sponsorowany śmieciami lub "downloader portalowy": KLIK. Przykładowo u Ciebie na dysku widać wiele plików "Asystenta pobierania" dobrychprogramów.pl. - Zawsze zaczyna się od poprawnej deinstalacji adware via Panel sterowania, następnie powtórzenie akcji w menedżerach rozszerzeń przeglądarek, dopiero po tym można użyć AdwCleaner i inne automaty. Odwrotna kolejność ma skutki uboczne: jako że automaty nie prowadzą deinstalacji tylko na chama usuwają wpisy, mogą pozostać wejścia, które normalnie usunęłaby deinstalacja. - W systemie nadal jest czynne adware (niejaki FastPlayer, sterownik webinstrNew.sys, Harmonogram zadań wytapetowany). Poza tym, w tle działa wątpliwy program YAC (Yet Another Cleaner): KLIK. To nie jedyny wątpliwy skaner, do którego się przymierzałeś, na dysku są także ślady lewego SpyHunter. I przypuszczalnie sterowniki adware i/lub YAC są powodem problemów z siecią i pobieraniem. Nie wiem skąd Ci się wzięło podejrzenie Sality... - Przeglądarki Google Chrome i Firefox wyglądają na uszkodzone lub niepoprawnie odinstalowane (brak wejść na liście zainstalowanych), będę usuwać więc ich foldery z dysku, w których notabene jest nadal adware. Nie jest znana zawartość przeglądarki Opera (uruchomiona w procesach), gdyż żadne z narzędzi jej nie skanuje, ale dane o niej pobiorę ręcznie. Przeprowadź następujące działania: 1. Na początek deinstalacje: - Tradycyjnie poprzez Panel sterowania odinstaluj: FastPlayer, McAfee Security Scan Plus, videos_MediaPlayers_v1.2+. Jeśli nie będzie widać którejś pozycji lub zwróci ona błąd, nie szkodzi. Kontynuuj: - YAC tam nie występuje, uruchom więc ręcznie plik C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe (prawoklik na plik i Uruchom jako Administrator) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {052FED14-726E-46AD-A7B4-62AD6CC2BC98} - System32\Tasks\HM => C:\Users\Ninos\AppData\Roaming\HM.exe [2014-10-08] (Object Browser) Task: {4549C3A4-2C45-4F55-A546-15862D8B91D2} - System32\Tasks\SPBIW_UpdateTask_Time_313135343432383234392d5b5b4a346c4123452a5a556c => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {58EE346C-1BF3-483F-9CE6-93AD22FC9692} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-1.job => C:\Program Files (x86)\Senses\Senses-codedownloader.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-11.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-11.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-2.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-2.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-3.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-3.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-4.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-4.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-5.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-5.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-5_user.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-5.exe Task: C:\WINDOWS\Tasks\9c550b45-9ada-4e6a-9f45-e1e98b039007-11.job => C:\Program Files (x86)\videos_MediaPlayers_v1.2+\9c550b45-9ada-4e6a-9f45-e1e98b039007-11.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-11.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-11.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-2.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-2.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-4.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-4.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-5_user.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.exe Task: C:\WINDOWS\Tasks\SpeedChecker Update.job => C:\Program Files (x86)\ver5SpeedChecker\i1SpeedCheckeru59.exe R2 FastPlayerUpdaterService; C:\Program Files (x86)\FastPlayer\FastPlayerUpdaterService.exe [11776 2014-09-30] () [File not signed] R2 webinstrNew; C:\WINDOWS\system32\Drivers\webinstrNew.sys [56504 2014-10-16] (Corsica) S1 {29302da5-1178-40ac-a178-4cb57ebcc501}Gw64; system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64.sys [X] S1 {a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64; system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys [X] S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] S2 SPDRIVER_1.37.0.1359; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1359\jsdrv.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\...\Policies\Explorer: [NoControlPanel] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 BHO-x32: Framed Display -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll No File C:\Program Files\plugins.dat C:\Program Files\McAfee Security Scan C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\FastPlayer C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\videos_MediaPlayers_v1.2+ C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840 C:\ProgramData\EmailNotifier C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\Temp C:\ProgramData\Thunder Network C:\ProgramData\Xunlei C:\ProgramData\Microsoft\Windows\Start Menu\YAC.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FastPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk.1413378507.old C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\Gäst\Desktop\FastPlayer.lnk C:\Users\Ninos\AppData\Local\com C:\Users\Ninos\AppData\Local\CrashRpt C:\Users\Ninos\AppData\Local\fastplayer C:\Users\Ninos\AppData\Local\Google\Chrome C:\Users\Ninos\AppData\Local\Mozilla C:\Users\Ninos\AppData\Roaming\*.exe C:\Users\Ninos\AppData\Roaming\eCyber C:\Users\Ninos\AppData\Roaming\Elex-tech C:\Users\Ninos\AppData\Roaming\Mozilla C:\Users\Ninos\Desktop\FastPlayer.lnk C:\Users\Ninos\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Ninos\Downloads\*(*)-dp* C:\Users\Ninos\Downloads\*_www.INSTALKI.pl* C:\Users\Ninos\Downloads\9886749d79024d39ba156d4db172e2e2 C:\Users\Ninos\Downloads\ComboFix*.exe C:\Users\Ninos\Downloads\install_flash_player.exe C:\Users\Ninos\Downloads\ReimageRepair.exe C:\Users\Ninos\Downloads\Setup.exe C:\Users\Ninos\Downloads\SpyHunter-installer*.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk C:\Users\Public\Desktop\Wznów Instalację Reimage Repair.lnk C:\Users\Public\Desktop\YAC.lnk C:\Users\Public\Documents\YTAHelper C:\WINDOWS\system32\Drivers\webinstrNew.sys C:\WINDOWS\system32\log Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\FastPlayer /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\videos_MediaPlayers_v1.2+ /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Ninos\AppData\Local CMD: dir /a C:\Users\Ninos\AppData\LocalLow CMD: dir /a C:\Users\Ninos\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. .

Ten wpis nadal jest, ale już wiem czemu się nie skasował, pewnie kwestia formatowania przekształconego przez forum (znaczek "R" w nawiasie przekonwertowany w poście na znak zastrzeżony ®). Finalizując sprawy: 1. Siedząc na koncie Mateusz Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > przejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Z prawokliku skasuj wartość Windows® Statistics Service kierującą do WinSTAT.exe. 2. Usuń używane narzędzia za pomocą DelFix. 3. Na wszelki wypadek zmieniłabym hasła logowania do banku. .

Z przyklejonej instrukcji: Akcja pomyślnie wykonana, ale to nie koniec działań. Odtworzyły się zadania typu AT* w Harmonogramie. Ponadto, Robak Brontok tworzy w wielu folderach falsyfikaty, czyli pliki EXE mające ikonkę folderu i w nazwie symujące folder w którym zostały utworzone (np. C:\Users\Users.exe). Przypadkowe uruchomienie takiej podróbki odtworzy infekcję Brontok. Log FRST jest ograniczony i tylko nietóre z takich plików były widoczne, z pewnością jest więcej i musi być zrobiony ogólny skan antywirusowy. Na razie jednak dokończenie tego co widać: 1. Otwórz Notatnik i wklej w nim: C:\Users\Data KJ.exe C:\Users\Users.exe C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\Templates.exe C:\windows\Tasks\At*.job C:\windows\System32\Tasks\At* RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\KJ\Desktop\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. W FRST uruchom Scan, zaznacz pole Addition i tylko ten log mi przedstaw. Dołącz też plik fixlog.txt. .

Co masz na myśli? Obecny log z FRST wykazuje, że oba sterowniki Tages zniknęły z systemu. Nie ma już tych pozycji: ==================== Drivers (Whitelisted) ==================== S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [278728 2014-10-04] () R2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [25416 2014-10-04] () Czyszczenie z adware też wykonane i tu już typowe kroki końcowe: 1. Skasuj z Pulpitu folder Old Firefox Data oraz naprawa z "New folder" skąd był uruchamiany FRST. Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu, o ile coś powstało (na początku brak punktów): KLIK. .

Tak jest, system zgwałcony przez adware. Metody nabycia: KLIK. Uruchomiłeś jakiś "downloader". Spoza tematu adware jeszcze widać niedawno pobrany "Portable Excel" (nawiasem mówiąc portable to mit, jest tworzony folder "Thinstall"), skan tego czegoś na VirusTotal: KLIK (w karcie dodatkowych szczegółów jest odwołanie do pliku Portable EXCEL 2003 PL._5fantastic.pl_.exe, który jest u Ciebie na dysku). Przeprowadź następujące działania: 1. Na początek deinstalacje adware: - Poprzez tradycyjny Panel sterowania: RandomPrice, WinZipper, YTD Video Downloader 4.8.5 - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals)> Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 fc67e7a0; c:\Program Files (x86)\DeltaFix\DeltaFix.dll [3978752 2014-10-28] () [File not signed] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S1 dqnalkcg; \??\C:\Windows\system32\drivers\dqnalkcg.sys [X] S1 gtkiqgdu; \??\C:\Windows\system32\drivers\gtkiqgdu.sys [X] S1 nezmxysv; \??\C:\Windows\system32\drivers\nezmxysv.sys [X] S1 rktwjmur; \??\C:\Windows\system32\drivers\rktwjmur.sys [X] S1 wrntpzhx; \??\C:\Windows\system32\drivers\wrntpzhx.sys [X] S1 yauaqdfq; \??\C:\Windows\system32\drivers\yauaqdfq.sys [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Task: {7D279029-D5BD-47B3-BE2A-10F18B71F2C3} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378&type=default&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391856833&from=exp&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391856833&from=exp&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: RandomPrice -> {e825a11c-db79-4872-87d2-f14763c1e324} -> C:\ProgramData\RandomPrice\2B6Fp3lvComr6N.x64.dll () BHO-x32: RandomPrice -> {e825a11c-db79-4872-87d2-f14763c1e324} -> C:\ProgramData\RandomPrice\2B6Fp3lvComr6N.dll () FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\tn6mwzn8.default\extensions\shortcutff@gmail.com C:\Program Files (x86)\Adblocker C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\WinZipper C:\ProgramData\d195380caa514720 C:\ProgramData\RandomPrice C:\ProgramData\Trusted Publisher C:\ProgramData\WPM C:\Users\HomeGroupUser$ C:\Users\Administrator C:\Users\Gość C:\Users\Admin\AppData\Local\17712 C:\Users\Admin\AppData\Local\27683 C:\Users\Admin\AppData\Local\Chromatic Browser C:\Users\Admin\AppData\Local\Comodo C:\Users\Admin\AppData\Local\genienext C:\Users\Admin\AppData\Local\Google C:\Users\Admin\AppData\Local\Torch C:\Users\Admin\AppData\Roaming\337Games C:\Users\Admin\AppData\Roaming\Babylon C:\Users\Admin\AppData\Roaming\Bonanza C:\Users\Admin\AppData\Roaming\DVDVideoSoft C:\Users\Admin\AppData\Roaming\GoforFiles C:\Users\Admin\AppData\Roaming\Systweak C:\Users\Admin\AppData\Roaming\Thinstall C:\Users\Admin\AppData\Roaming\WinZipper C:\Users\Admin\Downloads\django-unchained-eng-4770000.exe C:\Users\Admin\Downloads\Portable EXCEL 2003 PL._5fantastic.pl_.exe C:\Users\Admin\Downloads\setup.exe C:\Windows\Base64.dll C:\Windows\clfct.dll C:\Windows\jimglib.dll C:\Windows\sassr.dat C:\Windows\sysk32.dll C:\Windows\SysWow64\hfpapi.dll C:\Windows\SysWow64\sinvfct.dll C:\awh*.tmp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{75B1EA5E-B09C-B960-322E-21187775557D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{75B1EA5E-B09C-B960-322E-21187775557D}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{016DC87C-94D1-045D-B108-53564C412C2B}" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Admin\IGC Folder: C:\Users\Admin\AppData\Roaming\IGC Folder: C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Czy coś usuwałeś ręcznie przed wykonaniem skryptu FRST, a może być używany msconfig? Ta odpadkowa wartość kierująca do WinSTAT.exe nie została znaleziona. Na wszelki wypadek zrób mi jeszcze raz log FRST z poziomu konta Mateusz (bez Addition i Shortcut).

Zadanie wykonane. Możesz już usunąć plik C:\DelFix.txt. Temat rozwiązany. Zamykam.

W angielskim Firefox: menu Help > Troubleshooting Information > Reset Firefox. A jeśli ma być na stałe polski Firefox, nadpisz obecną instalację polskim instalatorem Firefox: KLIK.

Paragon16 nie tak szybko. MBAM nie jest programem antywirusowym i nie leczy wykonywalnych, więc sprawa infekcji Jeefo to tu raczej nadal aktualna. Poza tym, skoro coś usuwałeś, to proszę o: nowe logi z FRST wykazujące zmiany (przypominam: proszę pobierz najnowszą wersję programu) + pokazanie raportu z MBAM co usuwał.