picasso

Punkt pierwszy wykonany pomyślnie, SFCFix naprawił usterkę: FIXED: Performed DISM repair on file Amd64\CNBJ2530.DPB of version 6.3.9600.17415. Natomiast została kwestia lewych plików gpedit, ale na operację ich podmiany potrzebuję znacznie więcej czasu (porównanie sum kontrolnych z mojej maszyny z Windows 8). Nie mogę obiecać, że szybko tu się zgłoszę z fiksem.

Wszystko zrobione, kończymy: 1. Możesz odinstalować Adobe Flash Player 23 PPAPI. Zbędna instalacja, to wersja dla nieistniejących tu innych przeglądarek na silniku Chromium (Opera i podobne). Google Chrome ma własny wbudowany Adobe Flash i w ogóle nie korzysta z zewnętrznych instalacji. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. GMER i jego log dokasuj ręcznie. Sprawa zupełnie niepowiązana z problemem adware, nie ten poziom modyfikacji. Adware było tylko w Google Chrome, a opisywane zjawisko tyczy wczesnej fazy bootowania systemu. Nie wiem o co chodzi, a co się pokazuje na tym BIOS-ekranie?

Jeśli chodzi o ten komputer, to kończymy: 1. Był problem z resetem pliku Host, który odłożyłam. W Trybie awaryjnym zapuść skrypt o zawartości: Hosts: Jeśli skrypt się pomyślnie wykona: 2. Skasuj z Pulpitu z "POMOC" narzędzia i ich logi. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

Pendrive pomyślnie wyczyszczony. Działania tyczące komputerów: KOMPUTER Z WINDOWS 7: Działania końcowe: 1. Jeśli nie zastosowałeś SpyHunterCleaner, to nadal aktualne, gdyż poprzednie logi wykazywały, że po deinstalacji pozostały szczątki programu. 2. Przez SHIFT+DEL (omija Kosz) skasuj pobrane skanery i ich logi z folderu F:\Programy instalacyjne\Antywirusy. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. KOMPUTER Z XP: Jak mówiłam, tu brak oznak czynnej infekcji (ona jest wyłączona via msconfig), są odpadki adware oraz sterownik po odinstalowanym Avast filtrujący klawiaturę. Do przeprowadzenia następujące operacje: 1. Odinstaluj stare niebezpieczne wersje (zagrożenie infekcjami, w tym szyfrującymi dane!) i zbędne aplikacje: Apple Software Update, Bing Bar, Browser Configuration Utility, HP Deskjet 3510 series — badanie mające na celu poprawę produktów, Hydra Browser, Java 7 Update 67, Java 8 Update 25, Java DB 10.5.3.0, Java SE Development Kit 8 Update 25, Java SE Development Kit 6 Update 18, OpenOffice.org 3.0, Opera 10.51, Safari. Zaś Adobe Reader należy zaktualizować ręcznie z wersji 11.0.08 do 11.0.17. Najnowsze wersje w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: MSCONFIG\startupreg: SysinfY2X => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f R1 aswKbd; C:\WINDOWS\system32\Drivers\aswKbd.sys [18544 2012-07-03] (AVAST Software) C:\WINDOWS\system32\Drivers\aswKbd.sys S1 AmdPPM; system32\DRIVERS\AmdPPM.sys [X] S3 catchme; \??\C:\DOCUME~1\Karol\USTAWI~1\Temp\catchme.sys [X] S3 GMSIPCI; \??\G:\INSTALL\GMSIPCI.SYS [X] S4 IntelIde; Brak ImagePath U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S2 NeroRegInCDSrv; C:\Program Files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe [X] U3 TlntSvr; Brak ImagePath HKLM\...\Run: [GEST] => m‘ HKLM\...\Run: [NeroFilterCheck] => \ü BootExecute: autocheck autochk * bootdelete CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA CHR HKU\S-1-5-21-1844237615-152049171-839522115-1004\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-1844237615-152049171-839522115-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://websearch.just-browse.info/ HKU\S-1-5-21-1844237615-152049171-839522115-1004\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-1844237615-152049171-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> DefaultScope {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} URL = hxxp://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1 SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> {2C0D27C1-E5A2-6E1A-956A-221BDCEFDFED} URL = SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} URL = hxxp://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1 Toolbar: HKLM - Brak nazwy - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - Brak pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\Web Assistant\Firefox => nie znaleziono DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E6E7A668-C143-00DE-E235-89613D04849E} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D730E661-B91D-1A27-F8CC-F13F0CD3C497} DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins DisableService: PLAY ONLINE. RunOuc RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Documents and Settings\Karol\Dane aplikacji\IClaro RemoveDirectory: C:\Documents and Settings\Karol\Dane aplikacji\Media Finder RemoveDirectory: C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} RemoveDirectory: C:\Documents and Settings\Karol\Menu Start\Programy\DownTango RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions RemoveDirectory: C:\Qoobox RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Menu Start\Programy\Nero 7 Essentials\Narzędzia\Nero DriveSpeed.lnk C:\Documents and Settings\Karol\Pulpit\Programy\Adobe Reader X.lnk C:\Documents and Settings\Karol\Pulpit\Programy\CPUID CPU-Z.lnk C:\Documents and Settings\Karol\Pulpit\Programy\Go for Files.lnk C:\Documents and Settings\Karol\Pulpit\Programy\Hydra Browser.lnk C:\Documents and Settings\Karol\Pulpit\Programy\Opera.lnk C:\Documents and Settings\Karol\Pulpit\Programy\Safari.lnk CMD: net user ASPNET /delete CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

W żadnym z dostarczonych zestawów nie widać jawnej infekcji malware / trojanami, jedynie na zestawach 1 i 2 są śmieci adware/PUP, co nie powinno się wiązać z żadnym ze zgłaszanych zjawisk. W kwestii FileZilla nic więcej nie zaradzę niż zmienić hasło i wyłączyć zapamiętywanie hasła. Skoro w podanych tu zestawach nie ma oznak infekcji, możliwości są następujące: - Była wcześniej infekcja zdolna prowadzić takie zadania i w owym momencie przechwyciła hasła. Infekcję dawno usunięto, haseł nie zmieniono, zostały użyte w późniejszym czasie. - Firmowa sieć, czy to są więc wszystkie komputery które działały pod jej kontrolą? Jeśli nie, to w infekcję i łowienie haseł mógł być zaprzężony całkiem inny komp niż tu przedstawiane, i to z jego poziomu złowiono hasło wprowadzane na innych komputerach. Cytuję z innego tematu, że przejęcie hasła FTP na całkowicie czystym komputerze jest możliwe poprzez nasłuch w sieci: Jeśli chodzi o doczyszczanie śmieci: ZESTAW 1 1. Odinstaluj adware foxydeal, Optimizer Pro v3.2 oraz firmowe "PUPy" AVG Web TuneUp, McAfee Security Scan Plus. Te instalacje adware wyglądają na uszkodzone / niepełne, w razie problemów z deinstalacją potem je doczyszczę. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer2749.exe [235776 2015-12-15] (MustangService) R1 StarOpen; C:\Windows\system32\Drivers\StarOpen.sys [5632 2006-07-24] () [brak podpisu cyfrowego] HKLM\...\Run: [NPSStartup] => [X] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1445982696&z=1af9da319f2a64796c6a49cgcz5z8wdtabeo3q4tfq&from=dae&uid=st3250410as_6ry6dn07xxxx6ry6dn07&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1445982696&z=1af9da319f2a64796c6a49cgcz5z8wdtabeo3q4tfq&from=dae&uid=st3250410as_6ry6dn07xxxx6ry6dn07&q={searchTerms} HKU\S-1-5-21-2696700359-2503137183-1314882984-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE12&ocid=UE12DHP SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-2696700359-2503137183-1314882984-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={E4FE2881-5B5A-4992-988F-41AD1FA2BDEA}&mid=f7e1d75593dd47cd9fcdd1a95adf06da-477740586ab7e2ef46f330033230d3b792368eab&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0716tb&pr=fr&d=2015-05-05 12:49:54&v=4.3.1.831&pid=wtu&sg=&sap=dsp&q={searchTerms} CustomCLSID: HKU\S-1-5-21-2696700359-2503137183-1314882984-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Adam\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\aw2d3slu.default\extensions\deskCutv2@gmail.com => nie znaleziono FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\40.3.6\\npsitesafety.dll [brak pliku] DeleteKey: HKLM\SOFTWARE\Google C:\Program Files\prefs.js C:\Program Files\Mozilla Firefox\browser\searchplugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG\AVG 2015.lnk C:\ProgramData\F-Secure C:\ProgramData\TempMoudleSet C:\Users\Adam\AppData\Local\GG C:\Users\Adam\AppData\Local\F-Secure C:\Users\Adam\AppData\Local\FSDART C:\Users\Adam\AppData\Roaming\GG C:\Users\Adam\AppData\Roaming\OpenFM C:\Windows\system32\Drivers\StarOpen.sys Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. ZESTAW 2: 1. Odinstaluj adware Browser-Security, bardzo starą niebezpieczną wersję Java™ 6 Update 11 oraz sponsora instalacji Adobe McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-130948464-2774431362-447049553-1000\...\Run: [safe_urls768] => C:\Users\aaa\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] () HKU\S-1-5-21-130948464-2774431362-447049553-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X] Task: {CA6EF306-2B07-456F-A73A-033FB8FACA00} - System32\Tasks\{FF82C36F-3F5C-4538-A004-42BAD4754BC3} => Firefox.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar Task: {DF0D298A-B2F9-40EE-818D-D5745E78C7A8} - System32\Tasks\McAfee Remediation (Prepare) => C:\Program Files\Common Files\AV\McAfee Anti-Virus And Anti-Spyware\upgrade.exe [2016-03-31] (McAfee, Inc.) C:\Program Files\Common Files\AV\McAfee Anti-Virus And Anti-Spyware C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox-branding.js C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox-l10n.js C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox.js C:\Program Files (x86)\Mozilla Firefox\defaults\pref\reporter.js C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\aaa\AppData\Roaming\Browser-Security Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Czyszczenie Firefox wg tych samych kroków co we wcześniejszym secie. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. ZESTAW 3: Tutaj prawie nic się nie dzieje. Tylko drobne działania: 1. Odinstaluj Bing Bar, McAfee Security Scan Plus. Zainstaluj IE11, link w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] C:\Users\user\AppData\Local\{*} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne. ZESTAW 4: Jeszcze mniej niż powyżej. 1. Zainstaluj IE11. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] RemoveDirectory; C:\AdwCleaner EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne.

Klucz się nie usuwa, gdyż jest w jakiś sposób zablokowany. Nie dał mu nawet rady FRST - komenda DeleteKey jest bardzo silna i omija uprawnienia oraz nieprawidłowości, a tu zwrot "Odmowa dostępu". Przejdź w Tryb awaryjny Windows i wykonaj skrypt o zawartości: ListPermissions: HKLM\SOFTWARE\Wow6432Node\07a488c3-b6fd-4a99-bfa4-d80aa677d417 DeleteKey: HKLM\SOFTWARE\Wow6432Node\07a488c3-b6fd-4a99-bfa4-d80aa677d417

Widzę, że już zniknął ten z sierpnia który pokazywał log z FRST. Ale skoro punkt z 15 września zawiera niezakodowane pliki, to rzecz jasna szybko eksportuj je na jakiś zewnętrzny nośnik.

Klucza nie możesz znaleźć w rejestrze, gdyż bierzesz ścieżkę bezpośrednio z raportu AdwCleaner. AdwCleaner to program 32-bitowy i w skanie na systemie 64-bit są przekłamania ścieżek. AdwCleaner znajduje klucz 32-bit i przedstawia go w formacie ścieżki 64-bit. To nie ma znaczenia dla AdwCleaner, bo on stosuje obejścia, by przetworzyć ścieżki. Ale ma znaczenie dla programów natywnie 64-bitowych (systemowe regedit i np. FRST). By usuwać ręcznie z poziomu regedit lub przy udziale FRST, należy przekonwertować ścieżkę do poprawnej postaci. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\07a488c3-b6fd-4a99-bfa4-d80aa677d417 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Podobny temat związany z tą infekcją: KLIK. Niestety odkodowanie plików nie jest możliwe. Jedyne co możesz zrobić, to je zachować oczekując na cud, że w przyszłości ktoś znajdzie obejście jak je odkodować. Z zaszyfrowanymi danymi nic nie da się zrobić, infekcja nie jest już aktywna (usuwa się automatycznie po zaszyfrowaniu danych), więc moja rola tu jest ograniczona tylko do posprzątania resztek i notatek ransom "Files encrypted.txt". Katastrofa z zaszyfrowanymi danymi jest oczywiście najpoważniejszą "usterką" tutaj, ale to nie jest jedyny problem w systemie. Masz też ślady adware/PUP i zainfekowane Chrome (podstawiony przez adware fałszywy profil ChromeDefaultData w opcjach wyświetlany jako user0). I widać na dysku, że pobierałeś z dobrychprogramów pliki świńskiego "Asystenta pobierania" zamiast poprawnych instalatorów: KLIK. Działania do przeprowadzenia: 1. W systemie jest punkt przywracania z sierpnia i na wszelki wypadek sprawdź za pomocą ShadowExplorer czy w tym punkcie na dysku C są dane niezaszyfrowane. Jeśli tak, można je za pomocą programu odzyskać. Jeśli nie, nic więcej nie da się zrobić. ==================== Restore Points ========================= 23-08-2016 09:56:42 Installed HP Support Assistant 09-09-2016 18:19:49 Scheduled Checkpoint 15-09-2016 22:31:40 Windows Update 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [Tv-Plug-In] => "C:\Program Files (x86)\Tv-Plug-In\Tv-Plug-In.exe" nogui Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2016-10-05] S2 0287211475661876mcinstcleanup; C:\Users\Zbigniew Niewiński\AppData\Local\Temp\0287211475661876mcinst.exe [883024 2016-10-05] (McAfee, Inc.) Task: {618B4918-D369-42FF-98AA-C6EF921DFF78} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {75D36573-B885-4FEB-B62F-B962E1E0CB5F} - System32\Tasks\MirageAgent => C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe Task: {91215154-BDC7-4178-B2A6-C6F994E8853B} - System32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN => C:\Users\Zbigniew Niewiński\AppData\Roaming\FreeVPN\FreeVPN.exe <==== ATTENTION CustomCLSID: HKU\S-1-5-21-2006376192-134370331-1719292346-1002_Classes\CLSID\{56568F08-AD1D-8C3D-9F6F-A29DFB1849C0}\InprocServer32 -> C:\Users\Zbigniew Niewiński\AppData\Roaming\WildTangent\WildTangent Games\App\Settings\OnlineProducts.ini () CustomCLSID: HKU\S-1-5-21-2006376192-134370331-1719292346-1002_Classes\CLSID\{7F291FC0-AA13-D0FF-58AF-745564016CFD}\InprocServer32 -> C:\Users\Zbigniew Niewiński\AppData\Roaming\Raptr\data\zbigol1\config\xmpp-caps.inf () HKU\S-1-5-21-2006376192-134370331-1719292346-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=182&d=20160304 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fcoadmpfijfcmokecmkgolhbaeclfage] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\Program Files\ByteFence RemoveDirectory: C:\Program Files\McAfee RemoveDirectory: C:\Program Files (x86)\McAfee RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG Zen RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911 RemoveDirectory: C:\Users\Zbigniew Niewiński\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo RemoveDirectory: C:\Users\Zbigniew Niewiński\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GetGo Software C:\ProgramData\*.* C:\Users\Zbigniew Niewiński\AppData\Roaming\*.* C:\Users\Zbigniew Niewiński\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GetGo Download Manager.lnk C:\Users\Zbigniew Niewiński\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Zbigniew Niewiński\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo.lnk C:\Users\Zbigniew Niewiński\AppData\Roaming\Raptr\data\zbigol1\config\xmpp-caps.inf C:\Users\Zbigniew Niewiński\AppData\Roaming\WildTangent\WildTangent Games\App\Settings\OnlineProducts.ini C:\Users\Zbigniew Niewiński\Documents\decryptor.exe C:\Users\Zbigniew Niewiński\Documents\uid.txt C:\Users\Zbigniew Niewiński\Documents\Corel\Próbki CorelDRAW X6\target.lnk C:\Users\Zbigniew Niewiński\Downloads\*-dp*.exe StartBatch: netsh advfirewall reset attrib -r -h -s "C:\Files encrypted.txt" /s attrib -r -h -s "D:\Files encrypted.txt" /s del /q /s "C:\Files encrypted.txt" del /q /s "D:\Files encrypted.txt" EndBatch: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Fix może się długo wykonywać, gdyż zostały załączone komendy rekursywnego usuwania z wszystkich dysków notatek ransom. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome konieczne przestawienie profilu. Na dysku są dwa foldery profilów, ale nie jestem w stanie stwierdzić na podstawie raportu czy poprzedni jest w ogóle interpretowany przez Chrome. Jeśli nie, to z tego folderu ewentualnie będziemy potem odzyskiwać zakładki. Ustawienia > karta Ustawienia > Osoby. Profil sfałszowany przez adware powinien się wyświetlać pod nazwą user0 i należy go usunąć. Jeśli w Osobach widzisz tylko ten profil, to po jego usunięciu klik w Dodaj osobę i załóż nowy, otwórz przeglądarkę na nowym profilu a poprzednie okna zamknij. Jeśli jednak w Osobach widzisz poprzedni profil, to po prostu uruchom go. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Plik fixlog prawdopodobnie będzie ogromny ze względu na masowe usuwanie notek ransom, więc gdyby nie zmieścił się w załączniku, shostuj go na serwisie zewnętrznym i podaj link do pliku.

Tak, to jest definitywne adware, w postaci szczątkowej więc "uninstall" to tu już nic nie zdziała. Jak mówię, mnie się wydaje, że AdwCleaner nie usuwa go właśnie dlatego, że dobiera się do niego Kaspersky i jest kolizja działań. Wyłącz Kasperskiego na czas operacji, następnie ręcznie przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\Program Files (x86)\miuitab.

Infekcja jest tylko na pendrive zmapowanym pod literą J:. Zakładam, że nadal występuje pod tą literą. Otwórz Notatnik i wklej w nim: StartBatch: attrib -s -h J:\5e8uqvp0.exe attrib -s -h J:\FRST64.exe attrib -r -s -h J:\Manuel.doc del /q J:\5e8uqvp0.exe del /q J:\FRST64.exe del /q J:\Manuel.doc EndBatch: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Qoobox RemoveDirectory: C:\ComboFix RemoveDirectory: G:\Kaspersky Rescue Disk 10.0 Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.

Tak jest, MPC pomyślnie usunięty z poziomu środowiska RE. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox, pobrany GMER, a także kopię FRST i jego logi z pendrive. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Ale nadal aktualne pokazanie logów z właściwego konta krystian. System nie został sprawdzony.

Kaspersky powinien zostać wyłączony podczas usuwania AdwCleaner. Konflikt detekcji. Nagle się obudził, bo obiekt adware próbował przetwarzać AdwCleaner. Ten folder miał być usunięty przez AdwCleaner. Pewnie z powodu ingerencji Kasperskiego kosztowało to aż dwie tury. Ale co pokazuje Kaspersky? Klikij w Details i przedstaw co widać.

Podtrzymuję swoją opinię, przyczyna wygląda na inną, może deinstalacja CCleaner spowodowała inną pośrednią zmianę lub nastąpił zbieg okoliczności. To się przecież kupy nie trzyma. A ten temat który linkujesz mówi o całkiem innym kontekście użycia CCleaner (czyszczenie rejestru z innego antywirusa) a nie CCleaner jako takim. Tzn. był zewnętrzny program antywirusowy Norton, usunięto go w niestandardowy sposób co nie spowodowało ponownej aktywacji Windows Defender. Przy zewnętrznym antywirusie Windows Defender jest automatycznie deaktywowany w systemach Windows 8 i 10, ale poprawna deinstalacja takiego antywirusa powinna ponownie włączyć Windows Defender, co się właśnie w temacie nie stało. CCleaner i Total Uninstall są wymieniane w kontekście (niedokładnego) czyszczenia z innych antywirusów... Wszystko zrobione. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu foldery frst + Stare dane programu Firefox. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Dostarczony log pokazuje to co na obrazku, więc nie wiem skąd Ci przyszło do głowy, że nie widać tych wyników. Dużo odpadkowych śmieci po adware/PUP, czyli teraz zastosuj sekwencję Skanuj + Oczyść i dostarcz log z czyszczenia.

Jakoś wątpię, by deinstalacja CCleaner miała coś do rzeczy. Elementy CCleaner w ogóle nie zazębiają się z instalacją Windows Defender... Czy na pewno deinstalacja CCleaner to była jedyna akcja, czy na pewno to nie kolejny restart systemu spowodował odpalenie uprzednio nieaktywnych składników Windows Defender?

Plik Hosts nie został zresetowany (nadal brak pliku), może Kaspersky to zablokował, ale na razie pomijam ten wątek. Wykonaj teraz te poprawki: 1. Czy na pewno resetowałeś ustawienia Chrome? W logu nadal przekierowania Bing (one były przypuszczanie wynikiem aktywności niepożądanej sponsorowanej wersji Bing): CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSearchKeyword: Default -> bing.com 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nie podejrzewam takiej bezczelności. Te infekcje rzeczywiście są na chodzie, a ocena zagrożeń na podstawie IP które w Orange jest zmienne i losowo przypisywane jest niestety zbyt ułomna. To jest potrzebne, by po rekonfiguracji Chrome lokalnie nie wróciły z serwera Google usunięte ustawienia. Po resecie synchronizacji i czyszczeniu Chrome lokalnie można ją włączyć ponownie, na serwerze Google wyglądują zmiany uwzględniające modyfikacje lokalne.

I tu brak widocznych oznak infekcji, tylko odpadki adware/PUP i po odinstalowanych programach niedokładnie wyczyszczone w przeszłości. Czyli do wykonania tylko czyszczenie bufora DNS, Tempów i wpisów odpadkowych. 1. Odinstaluj starocie i zbędne aplikacje: Adobe Flash Player 23 NPAPI (wersja dla Firefox), Akamai NetSession Interface, Flvto Youtube Downloader, Java 7 Update 45, Real Alternative 2.0.2. Ten Flvto Youtube Downloader od Hotger to niepożądany program... 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => Brak pliku HKLM-x32\...\Run: [mobilegeni daemon] => [X] HKLM-x32\...\Run: [TrustPortDiskProtectionWatchDog] => "C:\Program Files (x86)\TrustPort\DiskProtection\bin\TDWatch.exe" HKLM\...\StartupApproved\Run32: => "StereoLinksInstall" HKLM\...\StartupApproved\Run32: => "avgnt" HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKLM\...\StartupApproved\Run32: => "AvgUi" HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "Mobile Partner" HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "" HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "EADM" HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "Akamai NetSession Interface" HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "Flvto Youtube Downloader" Task: {0BAD1663-8792-4556-ABB9-47DB8177DF25} - \Yahoo! Search Updater -> Brak pliku <==== UWAGA Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGA Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku <==== UWAGA Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku <==== UWAGA Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku <==== UWAGA Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku <==== UWAGA Task: {9F7F1BF5-6118-4C36-9C13-FA5B2384E43B} - \Yahoo! Search -> Brak pliku <==== UWAGA Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku <==== UWAGA Task: {CB5D670A-CC37-4F1C-9305-DC526F2BB5F0} - System32\Tasks\{07C8D4AB-E61A-48A8-A064-D9714A1D7A7F} => pcalua.exe -a D:\Gry\Elitemt2\EliteMT2.exe -d D:\Gry\Elitemt2 Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku <==== UWAGA DisableService: PLAY ONLINE. RunOuc S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S2 EncDisk; \??\C:\Program Files (x86)\TrustPort\DiskProtection\bin\EncDsk.sys [X] S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /svc [X] <==== UWAGA S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /medsvc [X] <==== UWAGA S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avasdmft => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avas_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avss_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\gozer => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdifw => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpavdrw_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpmgma_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpsec => ""="Driver" GroupPolicy: Ograniczenia - Chrome <======= UWAGA GroupPolicy-x32: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1410885360&from=ild&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms} HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms} HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://rts.dsrlte.com?affID=na HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms} SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {67C334C0-408D-4E6D-B5A7-0ADD6AFFA252} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms} BHO: TheTorntv V10 -> {11111111-1111-1111-1111-110611331111} -> Brak pliku BHO-x32: Brak nazwy -> {11111111-1111-1111-1111-110611331111} -> Brak pliku Toolbar: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\program files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449081789&z=2b50b37e3ad3e2187e8c275g8zdzftae5b7gem2b7b&from=cornl&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479 Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{e69d1012-40d1-4e26-9fe9-35d6c0e296a0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\AVG C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ace of Spades C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Origins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis\Action!\User Manual JP.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nostale(PL) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\osu! C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zcom ÔÓÖľ¶©ÔÄĆ÷ C:\Users\User\AppData\Local\{19C1719E-AD4C-4E5F-89A4-7A343DE0D572} C:\Users\User\AppData\Local\{BBC1798E-D615-4AED-B8B0-BA1298FF796C} C:\Users\User\AppData\Local\{BD8C80B8-D4BF-47E3-8C08-6C9323B4B073} C:\Users\User\AppData\Local\housecall.guid.cache C:\Users\User\AppData\Local\AvgSetupLog C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b244525f330c1697\Mighty Quest mqel-live.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\AnySend.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flvto Youtube Downloader C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mirillis C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_22845055.lnk C:\Users\wangjihua C:\Users\wangzhisong CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

1. Tak, to ten plik powoduje detekcję "Firefox" w FRST. Spokojnie do wywalenia ten plik profiles.ini. Nie wiadomo skąd on się znalazł w folderze GG, to plik z danymi Firefox a nie GG... 2. Na koniec przez SHIFT+DEL (omija kosz) skasuj FRST i jego logi z folderu "pomoc" na Pulpicie. Następnie zastosuj jeszcze DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko w kwestii analizowanego tu kompa. Nie, tu jest na odwrót, to router infekuje urządzenia działające pod jego kontrolą, a nie urządzenia podeń podpinane. Przy infekcji routera rekordy DNS są buforowane na każdym urządzeniu, po wyczyszczeniu routera mogą więc nadal być przekierowania z powodu tego cache i po to należy jeszcze robić reset cache DNS po stronie urządzenia, które było pod kontrolą wcześniej zarażonego routera. W Windows jest to łatwe do wdrożenia, ale na innych platformach niestety głównie takich opcji brak...

Jeśli chodzi o skan w poszukiwaniu "profilu Firefox", to jest tylko jeden plik w folderze GG: C:\Users\Hero\AppData\Roaming\GG\profiles.ini Otwórz plik w Notatniku i przeklej jego zawartość do posta. Na urządzeniach innego typu niż lapek czy PC należy wyszukać analogiczne do ipconfig /flushdns ustawienia czyszczenia bufora DNS. A jeśli takowych brak, trzeba resetować urządzenia metodą "twardego resetu", czyli do ustawień fabrycznych.

Co nie zmienia nic w podanych przeze mnie instrukcjach. Nawisem mówiąc, zamiast instalować pełny pakiet ESET Smart Security, mogłeś się posłużyć minimalistyczną wersją ESET Online Scanner, by przeskanować system.

Miałeś mi dostarczyć plik fixlog.txt a nie nowe skany FRST. Ale już to pomińmy. Zemana natomiast wykryła w preferencjach Google Chrome konfigurację Trotux, tylko że profil Chrome był przecież usuwany, a posunąłeś się nawet dalej niż zalecałam, czyli deinstalowałeś Chrome z pełnym usunięciem profilu. Działania końcowe: 1. Odinstaluj stare wersje: Adobe Flash Player 22 NPAPI (to edycja dla nieistniejącego tu Firefoxa), Java SE Development Kit 7 Update 55, Java SE Development Kit 8 Update 60 (64-bit), Java SE Development Kit 8 Update 91 (64-bit). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Materiał edukacyjny na co uważać: KLIK.