picasso

Tak, to zrozumiałam. Moim pytaniem jest czy zostały ponownie odinstalowane? Jeśli tak, dostarcz nowe raporty z FRST (bez Shortcut), to doczyszczę ewentualne resztki. Nie ma jednego określonego programu, który załatwia wszystko. Małe skanery awaryjne oraz skanery bez rezydentów są na tych listach: KLIK / KLIK. Czyli przykładowo Kaspersky Virus Removal Tool, ESET Online Scanner, Hitman Pro, MBAM.

1. Przez SHIFT+DEL (omija Kosz) dokasuj jeszcze te elementy z dysku: C:\ProgramData\encinfo.jpg C:\Users\Kuba i Michał\AppData\Roaming\.ACEStream C:\Users\Kuba i Michał\AppData\Roaming\ACEStream Natomiast ten drugi C:\ProgramData\encfiles.log zawiera listę zakodowanych plików, więc sobie porównaj z tym co się stało na dysku. Zakodowane pliki zachowaj na wypadek gdyby w przyszłości pojawił się jakiś ratunek. 2. Uruchom DelFix. GMER i RansomNoteCleaner dokasuj ręcznie. 3. Zabezpieczenia przed infekcjami szyfrującymi dane. Lista programów zabezpieczających tutaj: KLIK. Pod kątem infekcji szyfrujących dane: Niezbędne też wykonywanie kopii zapasowych cennych danych, a kopie umieszczane na odizolowanym dysku podłączanym tylko tymczasowo. Infekcje szyfrujące dane atakują każdy dostępny dysk lokalny, wymienny i sieciowy.

Ten "rootkit" w GMER to sterownik dtsoftbus01.sys od instalacji DAEMON Tools Lite. Programu nie widzę na liście zainstalowanych, ani tego sterownika. Log musiał być robiony przed jego deinstalacją. Natomiast owszem mamy tu niezły bajzel będący konsekwencją instalacji adware, w procesach liczne obiekty adware oraz szkodliwy skaner YAC, co jest przypuszczalną przyczyną spowolnienia. Ponadto, problemy w przeglądarkach: jako domyślna przeglądarka jest ustawiony fałszywy klon "Google Chrome" pod nazwą Seteat, a w Firefox jest ustawiony jako domyślny profil sfabrykowany przez adware. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe Reader 9.5.0 - Polish, HP Customer Participation Program 14.0, PC Clean 2005, Qtrax Player, Shared C Run-time for x64, Uncheckit, YAC(Yet Another Cleaner!) - Uruchom Program Install and Uninstall Troubleshooter i usuń Metric Collection SDK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\cech1\AppData\Roaming\setup1\TSvr.exe [205520 2016-09-18] (Trend Corp.) R2 InterHop; C:\Program Files (x86)\InterHop\InterHop.exe [444648 2016-09-18] () S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] () R2 yahoochrometechnology; C:\ProgramData\yahoochrome\desktop25.exe [236768 2016-05-02] (YahooChrome) R1 {0c0bb4a8-45a4-4685-9c1d-08d98af4b926}Gw64; C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}Gw64.sys [61112 2014-06-23] (StdLib) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-13] () S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106552 2013-02-19] (McAfee, Inc.) S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 GPU-Z; \??\C:\Users\cech1\AppData\Local\Temp\GPU-Z.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X] Task: {0962EE7A-1594-4E44-BFA6-09B3F443062E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {15465625-8690-43F7-B425-400D077EFD01} - System32\Tasks\UncheckitTaskMN => C:\Program Files (x86)\Uncheckit\cktSvc.exe [2016-04-28] (EVANGEL TECHNOLOGY (HK) LIMITED) Task: {2A009335-2277-45E9-B4BA-BD068F6ABD65} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2E5DE81D-8333-4CB5-822E-CCCCB39B4E78} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {38E5D729-C8EE-4598-A350-D58DA84C8E0E} - System32\Tasks\QtraxPlayer => 2139035685.portal.qtrax.com Task: {53C93E9C-3C7F-4CCE-AF9C-38EC34D1EB9F} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) Task: {5C564755-41E9-424E-84F8-706C1210595D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {61F6EE9B-D8C0-43D6-816E-78EFDB476A4B} - System32\Tasks\{26832AD1-980D-41AC-8855-FA0CFC37756D} => pcalua.exe -a E:\SimsCS_Uninst.exe -d E:\ Task: {6E713946-15B4-429F-B12D-60A1B92AA53B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7D6C00D2-43B5-43E5-B618-63366E5747FB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {8C75DB6A-79F0-43F5-A435-174F03A7AE58} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {95A96AD7-CEB6-44D4-B925-0EFE23746CB8} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () Task: {A3A03DE6-F67F-461C-8672-9D35AC4CF632} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A8FEBF8F-BC13-4645-81B8-C108D458167B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {ABE2CBCC-0F91-4A6F-B9A9-C809E7A83415} - System32\Tasks\{072B3995-A951-4D89-A128-E878F206BB93} => pcalua.exe -a "C:\Program Files (x86)\Binboy\EdHTMLv5.0\EdHTML.exe" -d "C:\Program Files (x86)\Binboy\EdHTMLv5.0" Task: {AD60AC76-DD38-492D-BDF9-3965D0155FB3} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\1CFBF412E68A59679C3BE57838603880\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {B46DFFDC-BB0C-48E4-88D2-01CEDBAEA05B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D798EEDB-D949-48E5-96F8-1ABD6174F476} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {F6E9AE48-105A-476A-91A6-E5DA61894D79} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {FC33DBE7-C910-4F1C-B383-007FD7E6ABC7} - System32\Tasks\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser => Rundll32.exe generaltel.dll,RunTelemetryW Task: C:\WINDOWS\Tasks\Browser Updater Task(Core).job => C:\Program Files (x86)\TXQQBrowser\Update\1CFBF412E68A59679C3BE57838603880\Update\BrowserUpdate.exe IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe GroupPolicy: Ograniczenia HKLM-x32\...\Run: [fst_pl_146] => [X] HKLM-x32\...\Run: [Raptr] => "C:\Program Files (x86)\Raptr\raptrstub.exe" --startup ShortcutWithArgument: C:\Users\cech1\Desktop\Lubię\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.nuesearch.com/?type=sc&ts=1472469252&z=bf942921031c2f1064411bagaz7meo7z5q4t2o0e7e&from=wpm0829&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\Users\cech1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1472469252&z=bf942921031c2f1064411bagaz7meo7z5q4t2o0e7e&from=wpm0829&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1474189066&z=78370a9db7dc3e7be16619dg2z0maz3g3b9tce5q8o&from=wpm0912&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.nuesearch.com/?type=sc&ts=1474189066&z=78370a9db7dc3e7be16619dg2z0maz3g3b9tce5q8o&from=wpm0912&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1472469252&z=bf942921031c2f1064411bagaz7meo7z5q4t2o0e7e&from=wpm0829&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS Edge HomeButtonPage: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.msn.com/?PC=AV01 HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=209&systemid=488&v=a12834-385&apn_uid=0559871564264374&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=209&systemid=488&v=a12834-385&apn_uid=0559871564264374&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku CustomCLSID: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\cech1\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku FF Plugin: @mcafee.com/MSC,version=10 -> C:\Program Files\mcafee\msc\npMcSnFFPl64.dll [brak pliku] FF Plugin-x32: @mcafee.com/MSC,version=10 -> C:\Program Files (x86)\McAfee\msc\npMcSnFFPl.dll [brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\AION DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Greenshot Packages DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Visual C++ Packages DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Uninstall ior DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f C:\END C:\Program Files (x86)\eBay C:\Program Files (x86)\InterHop C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Opera C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\SFK C:\Program Files (x86)\TXQQBrowser C:\Program Files (x86)\Uncheckit C:\Program Files (x86)\WinSaber C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinRAR C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\C__Users_cech1_Downloads_Hide IP Easy v5.1.6.6 + Crack { LAtest 2012 Version } Mr.Perfect_Hide IP Easy v5.1.6.6 + Crack { LAtest 2012 Version } Mr.Perfect_Crack_HideIPEasy.exe C:\ProgramData\3winp3 C:\ProgramData\ChelfNotify C:\ProgramData\OnlineUpdate C:\ProgramData\Origin C:\ProgramData\Seteat C:\ProgramData\Skype C:\ProgramData\Uncheckit C:\ProgramData\yahoochrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Play C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\To jest chemia – zakres podstawowy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uncheckit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\cech1\AppData\Local\{10732D89-18D7-4531-A002-9369B664F11E} C:\Users\cech1\AppData\Local\{C6A41083-4899-430D-92D4-85B4EB6E949C} C:\Users\cech1\AppData\Local\{D0C81687-B1CE-498D-87AD-F1C826B5AB06} C:\Users\cech1\AppData\Local\GG C:\Users\cech1\AppData\Local\Mobogenie C:\Users\cech1\AppData\Local\OpenFM C:\Users\cech1\AppData\Roaming\apachesrvin.vbs C:\Users\cech1\AppData\Roaming\die.bat C:\Users\cech1\AppData\Roaming\Minecraft 1.5 NonPremium.rar C:\Users\cech1\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk C:\Users\cech1\AppData\Roaming\setup1 C:\Users\cech1\AppData\Roaming\Skype C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\AION.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\OpenFM.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\cech1\Desktop\Ale fajny\Play Just Cause 2.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\DAEMON Tools Lite.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\GG.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\OpenFM.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\Opera.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\To jest chemia – zakres podstawowy.lnk C:\Users\cech1\Desktop\Lubię\*.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\DAEMON Tools Pro.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\EA Download Manager.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\eBay.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\Installer Microsoft Visual C++ 2008 Express Edition with SP1.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\Mobogenie.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\OpenFM.lnk C:\Users\cech1\Favorites\eBay.url C:\Users\Default\Favorites\eBay.url C:\Users\Public\Documents\report1.dat C:\Windows\system32\CECH_cech1_HistoryPrediction.bin C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}Gw64.sys C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\System32\drivers\HipShieldK.sys C:\Windows\System32\drivers\mferkdet.sys C:\Windows\System32\Tasks\Lenovo C:\WINDOWS\SysWOW64\_SSpm CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\cech1\AppData\Local CMD: dir /a C:\Users\cech1\AppData\LocalLow CMD: dir /a C:\Users\cech1\AppData\Roaming RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Wyeksportuj zakładki z obecnego profilu, o ile jest co eksportować. Klawisz z flagą Windows + R > w polu Uruchom wklej komendę "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p i ENTER. Załóż nowy profil, a pozostałe całkowicie skasuj. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowane rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw jako domyślną przeglądarkę tymczasowo Firefox lub Internet Explorer. Na razie nie da się ustawić Google Chrome, dopóki nie zostaną wyczyszczone wpisy klona Seteat z rejestru. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Seteat;Tencent

Na pendrive nic ciekawego, tylko ten ukryty plik H:\desktop.ini wygląda na pochodną infekcji, ale nie jest on ważny i nic nie robi (zero bajtów), a poza tym to bootowalny pen który i tak będziesz przerabiać. 1. Ostatni skrypt do FRST usuwający odpadkowe katalogi po deinstalacjach oraz immunizację autorun.inf z dysków twardych dorobioną przez USBFix (to ma skutki uboczne na lokalnych dyskach). Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Lenovo RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\autorun.inf RemoveDirectory: D:\autorun.inf RemoveDirectory: E:\autorun.inf Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż kopie FRST (fałszywy alarm), dostarcz log.

To nie jest malware w rozumieniu aktywności charakterystycznej dla trojanów. To po prostu niepożądane rozszerzenie typu adware, tzn. produkujące reklamy i przekierowania w przeglądarce. Wg raportu siedziało w systemie od zeszłego roku (data instalacji 2015-11-28). Informacyjnie: AdBlock został po cichu przejęty przez Adblock Plus i od wersji 3.0 jeździ na silniku Adblock Plus, a konsekwencją było pojawianie się w nim tej felernej listy "akceptowalnych reklam" (domyślnie zaznaczone). Tak, uBlock Origin jest definitywnie polecany zamiast Adblock Plus i jego klonów. Jeśli chodzi o zgłoszony problem: czy to kółko się kręci na konkretnych stronach, czy po instalacji uBlock Origin modyfikowałeś jego ustawienia domyślne (np. zaznaczyłeś hurtem wszystkie filtry, co obciążyłoby przeglądarkę), czy na pewno efekt jest powiązany z tą instalacją?

Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ CHR HomePage: Default -> hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ" DeleteKey: HKLM\SOFTWARE\Wow6432Node\Bossseed DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Bossseed DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\cc6d5ee0_0 DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\eeaf0632_0 Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\AVAST Software\Avast\PUB-Removed" /v 1d2164d87635cc3 /f Reg: reg delete "HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Bossseed\Application\chrome.exe" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Konrad\AppData\Local\Bossseed RemoveDirectory: C:\Users\Konrad\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Cóż, dokładnie tak jak w poprzednich wypadkach nie ma tu żadnych śladów infekcji. Problemem jest IP i należy wymusić jego zmianę. PS. Odinstaluj starszą wersję Java 8 Update 66. I możesz uruchomić kosmetyczny skrypt usuwający drobnostki i czyszczący Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia S4 sptd2; System32\Drivers\sptd2.sys [X] HKLM-x32\...\Run: [FAStartup] => [X] HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKU\S-1-5-21-598763898-964273417-681385867-1001\...\StartupApproved\Run: => "OneDrive" HKU\S-1-5-21-598763898-964273417-681385867-1001\...\StartupApproved\Run: => "Advanced SystemCare 9" ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku CustomCLSID: HKU\S-1-5-21-598763898-964273417-681385867-1001_Classes\CLSID\{71DCE5D6-4B57-496B-AC21-CD5B54EB93FD}\localserver32 -> C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileCoAuth.exe => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eushully C:\Users\Bartlomiej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TEATIME C:\Users\Bartlomiej\Desktop\ReiEditAA2.lnk C:\Users\Bartlomiej\Desktop\らぶギア.lnk C:\Users\Bartlomiej\Desktop\らぶギアスクリーンショットフォルダ.lnk C:\Users\Bartlomiej\Desktop\らぶギア取扱説明書.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Coś mało tych plików "Files encrypted.txt" skasowanych. Czy na pewno nigdzie ich już nie widzisz? I tu więcej nic nie jestem w stanie zrobić, poza pobocznymi działaniami. Doczyść inne elementy oraz wpisy odpadkowe: 1. Deinstalacje: - Odinstaluj Ace Stream Media 3.1.7 (zintegrowany moduł reklamodawczy uruchamiany po predefiniowanym czasie) oraz !xSpeedPro 1.4 (archaiczny tweaker pod stare systemy). - W Google Chrome odmontuj rozszerzenia Hola - Free VPN, Ad;Block Plus. Hola powiązana z niepożądanymi aktywnościami: KLIK / KLIK. Natomiast to drugie rozszerzenie jest podejrzane i zostało usunięte z Chrome Web Store. - W Firefox sugeruję usunąć Youtube Downloader - 4K Download. To rozszerzenie jest znane z niepożądanych aktywności: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia Startup: C:\Users\Kuba i Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-28] () CustomCLSID: HKU\S-1-5-21-2670859206-3087183214-2171256421-1000_Classes\CLSID\{41B89628-3BF9-D1E3-385B-EC1E477BD28F}\InprocServer32 -> C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat\playerdata\a00bb2dd-3847-3b06-85a5-bdf0c869b306.txt () CustomCLSID: HKU\S-1-5-21-2670859206-3087183214-2171256421-1000_Classes\CLSID\{9C77117E-049E-1C48-2950-AB001B022A89}\InprocServer32 -> C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat-\data\Mineshaft.inf () FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll [brak pliku] FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll [brak pliku] Task: {01B82FEB-2FEA-4FDB-A1FE-01A926B06B66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {07CE7B31-C7C1-43B4-B482-0AA05F953FDD} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {1134E9A8-8395-401C-B872-202A5894F173} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {143DA133-667F-4AAD-8C93-7FC742D6731A} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {17A9195F-C078-48A7-AE95-916B24C41AF3} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {1AA648AD-D8CF-4759-8400-3B042AA8C0C1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {1D6A95B1-CEEC-4DA8-A1C8-D1F2E2DB04E7} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {24A522B9-26BA-4E94-B918-1810F2274D3D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {41A84CA8-E449-4BCA-B816-F18C62F256EA} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {44A89FCF-8DF1-45B7-ACFB-1E33FF61F8F0} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {44E790EF-4BA6-4C30-B738-C5F5C2083B66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {487A6CE3-1B91-4364-A961-3044C6EB39A8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {53F3150E-44D5-4D61-8F0B-3B69317295D2} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {56375E71-59CE-4F87-93CC-A96F1524607F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {61ECBEC7-7149-47B7-9E29-EC31ADE8B256} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {6489B22C-8840-4016-B8C3-FD979BC60FCF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {69FCE008-65E2-4702-B071-6880EBF38A3B} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {6A0C031B-EFE5-4451-B80B-FA1B4701AC0B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6B77198A-B7C1-4CA3-8E13-EE3E855691BE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7D67E329-0850-4D81-8B54-AE9C13FCF306} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {85533619-3A11-4D9C-BEBB-E7E6641C830D} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {8A5F7929-44F2-424F-AD21-2FB17101DCD2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8C57B184-E0AC-47B1-A8B2-68C0DB6FF468} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {97043218-AA71-478C-95A3-21B323980277} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {9E18ED44-5AC6-42D6-AAD6-E38D1AE0EB06} - System32\Tasks\{539563CC-23A7-404B-BAE5-E9D5491D82A4} => pcalua.exe -a "D:\Program Files (x86)\Deluxe Ski Jump 4\Setup.exe" -d "D:\Program Files (x86)\Deluxe Ski Jump 4" Task: {A8420187-73E0-420F-A947-E552CF4FF391} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {AC3F17C5-5D79-458B-ADAD-5FB9C2C3C237} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BAE9E25D-401A-4A58-9F2A-B76ED5F04221} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {BE639ED8-6B8A-450C-8F83-2B9C4ABEFFD3} - System32\Tasks\{AC7EEBDE-C856-4D68-B400-9E09F7FE87D4} => pcalua.exe -a "C:\Users\Kuba i Michał\Downloads\ME(v9.5.15.1730_1.5M)\setup.exe" -d "C:\Users\Kuba i Michał\Downloads\ME(v9.5.15.1730_1.5M)" Task: {D002887D-A383-4099-A7FB-61BC80E2D625} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {D35A1C42-F74D-44BA-8444-BDC9B98B0383} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D9A832D0-AAE4-4F83-B6E4-4A8636D05AF4} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DAFD5D86-200A-4817-A8FD-BC115B4E86CD} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {DC56DAA5-BC1C-4846-AA96-CDC6C7FF7D3B} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {DEDE361C-067B-4786-A542-9C0C552BC85B} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {E58830CB-6465-47E7-B74F-15B2C30A7259} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {E87A98B3-F18D-4475-8675-342E7CEA4A28} - System32\Tasks\{2F64E152-E0AD-41F3-857F-9861B8B0D51D} => pcalua.exe -a "C:\Program Files (x86)\DS3_service\ScpService.exe" -d "C:\Program Files (x86)\DS3_service" Task: {F7AC6972-47A9-42D8-B4FB-DD7168A4FCCD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {F9E8EA9C-8D60-4255-9A31-5BB1B5B36871} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {FD879963-45A1-4658-9161-DEEF0DAB432B} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center HKU\S-1-5-21-2670859206-3087183214-2171256421-1000\...\StartupApproved\Run: => "AceStream" R3 gkernel; C:\Users\Kuba i Michał\AppData\Local\Temp\gkernel.sys [44544 2016-09-28] () [brak podpisu cyfrowego] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath CMD: netsh advfirewall reset CMD: type C:\ProgramData\uid.txt C:\ProgramData\uid.txt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Kuba\Desktop\Fallout 4.lnk C:\Users\Kuba i Michał\AppData\Roaming\uid.txt C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat\playerdata\a00bb2dd-3847-3b06-85a5-bdf0c869b306.txt C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat-\data\Mineshaft.inf C:\Users\Kuba i Michał\Desktop\decryptor.exe C:\Users\Kuba i Michał\Desktop\uid.txt C:\Users\Kuba i Michał\Desktop\Battlefield 4.lnk C:\Users\Kuba i Michał\Documents\decryptor.exe C:\Users\Kuba i Michał\Documents\uid.txt C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zdaje się być zrobione. Temat więc zamykam. W przypadku podejrzanych objawów lub ujawnienia nowych konsekwencji tej infekcji poproś o otworzenie tematu. Jeśli pojawią się jakieś nowe informacje, oczywiście dostarczę. Na razie "ciemno wszędzie, głucho wszędzie".

Czyli w porządku, to potwierdzenie, że infekcja nigdzie nie czyha. Jej tu po prostu już nie ma, tylko skutki jej działania. Pozostaje zachowanie zaszyfrowanych danych w nadziei na rozwiązanie w przyszłości. Na wszelki wypadek też podaję jaki był identyfikator w Twoich plikach uid.txt (nie wiem czy może to być potrzebne w przyszłości): ========= type C:\ProgramData\uid.txt ========= Your UID: U1CYB96TUT Prędzej doinstalowane ostatnio programy dodające masę obiektów startowych, a nie aktualizacje Windows. 29 września zainstalowałeś bardzo rozbudowany startowo pakiet ESET Smart Security, a także MBAM. Potencjalny kandydat to ESET. Końcowe kroki: 1. Przez SHIFT+DEL (omija Kosz) dokasuj poniższe foldery: C:\Users\hp 250\AppData\Roaming\.ACEStream C:\Users\hp 250\AppData\Roaming\ACEStream 2. Zastosuj też DelFix. GMER i jego logi oraz inne pobrane narzędzia dokasuj sobie ręcznie.

OPERACJE NA KONCIE ANIA: Tu są ślady starej infekcji ransom blokującej dostęp do systemu - tzn. odpadkowy wpis skype.dat. Infekcja ta wślizgiwała się w system poprzez exploity starych wersji Java. 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1057800693-3350837012-1661647793-1003\...\Winlogon: [Shell] explorer.exe,C:\Users\Ania\AppData\Roaming\skype.dat <==== UWAGA HKU\S-1-5-21-1057800693-3350837012-1661647793-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=128 Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Wyczyść też Firefox ze starych rozszerzeń, wykonując te same kroki co podane poprzednio. Po resecie Firefox przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox, a przy okazji i ten z FRST. OPERACJE NA KONCIE ADMIN: 1. W międzyczasie doinstalował się firmowy Asusowy śmieć, czyli Bing Bar. Odinstaluj go. Przegapiłam też, że OpenOffice.org 3.3 do aktualizacji. 2. Następnie końcowy skrypt do FRST o zawartości: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku Task: {B7817FBA-7A69-4F73-B6FC-E3CCD0D61D98} - System32\Tasks\{7788381F-8EEA-443D-91ED-44295FE8972F} => Firefox.exe hxxp://ui.skype.com/ui/0/5.10.0.115/pl/abandoninstall?source=lightinstaller&amp;page=tsMain RemoveDirectory: C:\AsusVibeData RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt. POZOSTAŁE KONTA: Skoro konta Dominik i Krzysztof są nieużywane, to je po prostu usuń z poziomu Panelu sterowania. Przy kasowaniu potwierdź usuwanie danych użytkownika, by foldery z C:\Users zostały również usunięte.

Nie trzeba "ponawiać pytań" i kasuję ten post. Odpowiadam, gdy jestem w stanie przetworzyć dany temat. Nie było nigdzie opcji zapisu do nowego pliku tekstowego czy dziennika skanowania? Nie używam tego programu, nie wiem jakie są w nim opcje. Chodziło mi o poprzednie wyniki, skany bieżące nie zawierają informacji do której zmierzałam i nie zalecałam ich nawet, podejrzewając że nic w nich nie będzie. Jak mówię, w raportach FRST i GMER żadnych oznak infekcji, a poprzednie wyniki ze skanerów miały być sprawdzone co to właściwie było, czy się wiąże ze zgłoszeniem Cybertarczy. Moim zdaniem nie, te zgłoszenia są generowane w oparciu o spalone IP będące w użyciu przez komputer. Wprawdzie nie mam pełni danych, ale te wyniki z 360 nie wyglądają na istotne, w tym podejrzenie fałszywego alarmu. Skanera tego nie biorę zresztą aż tak poważnie. Znacznie bardziej interesowały mnie wyniki z Kasperskiego, który widział jakieś "trojany", ale nie można tego ocenić. Czy skanery 360 Total Security i Kaspersky zostały już odinstalowane? Zmierzam do ewentualnego usunięcia pewnych szczątkowych wpisów. W pierwszych raportach te skanery były w formie odpadków, ale skoro nowe skany robiłeś, to sytuacja pewnie się zmieniła.

Tak jak w przypadku wszystkich innych tematów, zero objawów infekcji trojanem. Jak wspominałam w konkurencyjnych wątkach, Cybertarcza stawia diagnozę na podstawie IP, a to w sieci Orange jest zmienne i mogłeś otrzymać IP będące wcześniej w użyciu przez zainfekowany "element". Polecono Ci reset routera asygnujący inne IP i to wszystko co można w tej kwestii zrobić. Dla świętego spokoju możesz dodać raporty z pozostałych lapków w sieci. PS. Do wykonania poboczne działania: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 21 NPAPI, Adobe Reader X MUI, Java™ 6 Update 20. To zagrożenie infekcjami szyfrującymi dane. Najnowsze wersje w przyklejonym: KLIK. 2. Drobny kosmetyczny skrypt usuwający wpisy szczątkowe i przekierowania gazeta.pl (prawdopodobnie wtręty wprowadzone przez instalację AllPlayer lub czegoś podobnego). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {06854BE8-025E-4083-BDC4-533096D2A033} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {7CFF3F1D-8562-4D2D-A071-2CE3982B9B21} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {994C86AD-A929-4B2C-88A0-4E25A107A029} - System32\Tasks\Microsoft\Windows\SystemRestore\SR => C:\Windows\system32\srtasks.exe Task: {A6AF9377-77CE-47AB-AD7D-EC32CAD0C82D} - System32\Tasks\Microsoft\Windows\Location\Notifications => C:\Windows\System32\LocationNotificationWindows.exe Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku S3 Tosrfcom; Brak ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-1725284843-4271641495-247276432-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=190 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=190" FF Homepage: hxxp://www.gazeta.pl/0,0.html?p=190 FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Program Files (x86)\GUT9A0E.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLSubtitleSearcher C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\Bartosz\Downloads\Niepotwierdzony 164862.crdownload C:\Users\Public\Desktop\Rejestracja gwarancji firmy Toshiba.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

W raportach nie widać żadnych oznak tej infekcji. Tak jak w przypadku innych tematów, zapewne problem to IP. PS. Do wykonania tylko poboczne działania: 1. W Google Chrome w Profilu numer 4 (Moki) jest rozszerzenie adware Video AdBlock for Chrome. Odinstaluj je. 2. Drobny skrypt kosmetyczny usuwający wpisy puste i czyszczący lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.41105.0\npctrl.dll [brak pliku] FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.41105.0\npctrl.dll [brak pliku] Task: {2B9BC5D7-7F8B-4A18-93CC-6EAD0BEBD7D3} - System32\Tasks\{AB83378C-1AD1-4583-9894-F45CE0708B68} => Chrome.exe hxxp://ui.skype.com/ui/0/7.13.0.101/pl/abandoninstall?source=lightinstaller&page=tsInstall EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Brakuje pliku Fixlog.txt z wynikami usuwania. Nie uruchamiaj skryptu FRST ponownie, log jest w folderze z którego uruchomiłeś FRST. Tak, gdyż pomyliłeś opcje. Podawałam, by uruchomić Szukaj w rejestrze (Search Registry), a Ty uruchomiłeś Szukaj plików (Search Files). Powtarzaj wyszukiwanie. Tak, bo w międzyczasie doinstalował się nowy chłam i konfiguracja przeglądarek została ponownie zmieniona (liczne przekierowania na mylucky123.com). Będziemy to wszystko ponownie usuwać, ale najpierw czekam na w/w log z szukania w rejestrze.

W Opcjach folderów musisz odznaczyć Ukrywaj rozszerzenia znanych typów plików. W eksploratorze będziesz widzieć pełną nazwę, i wtedy normalna próba zmiany nazwy (zastąpienie .log przez .txt). Przepraszam. Literówka mi się zaplątała w jednej komendzie, tu miał być parametr /s (rekursywne usuwanie z całego dysku): del /q /s "C:\Files encrypted.txt"

Wszystko wykonane. Teraz podepnij pendrive i zrób log z USBFix z opcji Listing.

Nie wiem o co chodzi z Addition. Problemy rozwiązałeś tylko częściowo. Owszem, usunąłeś Necurs i jeden obiekt ze startu, ale infekcja uruchamiająca skrypt PowerShell nadal jest w systemie. 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje z lukami Adobe Reader 9.5.0 - Polish, Adobe Shockwave Player 12.2, Java 7 Update 79 oraz potencjalnie niechciany program (PUP) Lenovo SHAREit. - Uruchom Program Install and Uninstall Troubleshooter iza jego pomocą usuń Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1293939364-4137197343-2779268670-1000\...\Run: [{E9C93E7A-DC36-4E9E-9FF6-DA002F8B7829}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\WSAasgKSPmqLOk').kjnHgEWOReXFkVT))); MSCONFIG\startupreg: {E9C93E7A-DC36-4E9E-9FF6-DA002F8B7829} => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\WSAasgKSPmqLOk').kjnHgEWOReXFkVT))); Task: {4A1C8E74-D2C8-44B7-AF4C-17ED02ED1B04} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 35 => C:\Program Files\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe S0 5d8039a9b7e0d966; \SystemRoot\System32\Drivers\5d8039a9b7e0d966.sys [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\Classes\WSAasgKSPmqLOk DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird C:\Users\User\Desktop\j. niemiecki\Nowy folder — skrót (2).lnk C:\Windows\Installer\{B507FC13-3D3C-1391-EC52-1DFACAAC69F0} C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Utworzyłeś na Pulpicie folder o nazwie FRST + GMER i tam pobrałeś te programy, czyli z tego folderu uruchamia się FRST. Skrypt do FRST musi być w tym samym folderze gdzie jest FRST, czyli właśnie tym, i musi mieć nazwę fixlist.txt, by FRST go znalazł. Czyli nic w ogóle nie usuwasz z tego folderu, żadnych plików czy logów, tylko tworzysz tam nowy plik o nazwie fixlist.txt zawierający podany przeze mnie skrypt.

W Menu Start w Akcesoriach albo Start > w polu szukania wpisz notepad i klik na wynik.

Problemem są polityki wprowadzone przez adware. Próbując rozwiązać problem: - Stosowałeś ComboFix i na ten temat: KLIK. Punktujesz, że jesteś użytkownikiem początkującym i miałeś nawet problem ze zrobieniem raportów z FRST, definitywnie ComboFix nie jest programem który powinieneś uruchamiać na własną rękę. - Zainstalowałeś niepożądane skanery takie jak Reimage, Plumbytes, SpyHunter oraz przestarzały antywirus Kingsoft. - Na dodatek, został zainstalowany program gpedt.msc 1.0 rzekomo wstawiający działające gpedit.msc w Windows Home. To w ogóle nie działa: KLIK. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje i nieszczęsne sztuczne gpedit: Adobe Flash Player 18 NPAPI, gpedt.msc 1.0, Kingsoft Antivirus 2012, SUPERAntiSpyware. Odinstaluj je w normalny sposób, a nie za pomocą Revo Uninstaller, ponieważ w tych konkretnych przypadkach deinstalatory programów mogą odkręcić pewne zmiany, których może nie widzieć Revo. Zwłaszcza chodzi o sztuczne gpedit, które podstawiło pliki Windows i te zmiany muszą być odkręcone instalatorem programu, który to zrobił. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Zip: C:\Windows\system32\GroupPolicy C:\Windows\system32\GroupPolicy WMI_ActiveScriptEventConsumer_ASEC: HKU\S-1-5-21-4173278026-601312190-193035093-1000\...\Run: [bingSvc] => C:\Users\vengador\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-12-07] (© 2015 Microsoft Corporation) U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2016-09-28] () S3 catchme; \??\C:\Users\vengador\AppData\Local\Temp\catchme.sys [X] S2 CkerloyClient; C:\Program Files\Aromocult\Kogeghtvojilemdl.dll [X] S3 cpuz134; \??\C:\Users\vengador\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S1 kisnetm; \??\c:\program files\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AeroadminService => ""="Service" Task: {003E6061-2EA1-46A5-A7CC-57C9C1374B38} - System32\Tasks\{2C7F69D8-79B9-4287-A72D-5CD34EC62B7E} => pcalua.exe -a C:\Users\vengador\Downloads\iStar.exe -d C:\Users\vengador\Downloads Task: {1AB99961-DF7D-4FB5-AE8C-771EC90FBD25} - System32\Tasks\Driver Restore-RTMUpdater => C:\Program Files\Driver Restore\Driver Restore\DriverRestore.exe Task: {20C669E0-0A1A-42C4-8625-9D825B340A45} - System32\Tasks\{E0BFA41F-2D33-4B39-9652-D589A5B681F0} => Chrome.exe hxxp://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {2C9F7EDC-D9B2-4307-BA06-AA9B4A1B490A} - System32\Tasks\{62407798-82CF-4C2A-98BB-E09473309398} => Chrome.exe hxxp://ui.skype.com/ui/0/6.16.59.105/pl/go/help.faq.installer?LastError=1638 Task: {33DD72F6-B038-48F7-93CD-9DBED5952B36} - System32\Tasks\Driver Restore-RTMScanRunOnce => C:\Program Files\Driver Restore\Driver Restore\DriverRestore.exe Task: {3A09AC2E-EF6E-48CA-80F8-8A9E3403C8F5} - System32\Tasks\{65058402-B5FB-4304-BD31-CA5B21B0DF4F} => C:\Program Files\Essentware\PCKAV\PCKAV.exe Task: {3A6A94FF-6B86-414C-8CA6-6D0E74C117AB} - System32\Tasks\{2F3B0F8A-8E4D-4C68-83BD-BC5FBAE9C7CB} => pcalua.exe -a "C:\Program Files\VS Revo Group\Revo Uninstaller Pro\RevoUninPro.exe" Task: {3BED1D22-16DB-40E0-8E39-2417843C202B} - System32\Tasks\Driver Restore-RTMScan => C:\Program Files\Driver Restore\Driver Restore\DriverRestore.exe Task: {3C075601-2ECE-4603-A50A-315E5D98D542} - System32\Tasks\Opera scheduled Autoupdate 1435081354 => C:\Program Files\Opera\launcher.exe Task: {4012C96D-FA48-4C57-B8DE-8A034A00A365} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {445E124D-8AD6-403C-A809-D9CBC293662F} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {489C18CD-9C86-4753-9AD6-F62E80249FDB} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe Task: {5002B4E1-93CA-4092-8E2E-71AEE41D0747} - System32\Tasks\{F1D5C380-FD57-424D-BF8E-CF2B8308B69F} => pcalua.exe -a C:\Users\vengador\Documents\adwcleaner_3.310\adwcleaner_3.310_www.INSTALKI.pl.exe -d C:\Users\vengador\Documents\adwcleaner_3.310 Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {6C9F0A31-B8F6-4959-BBBC-64467B6188D5} - System32\Tasks\{ECD507A8-2EC2-4527-8AAA-BE45CD2548D4} => C:\Users\vengador\Documents\DCC-E2_original\VCC-E2\DCC-E2_original.exe Task: {815E3312-3BE3-4EFD-9DD2-84BF66255144} - System32\Tasks\Driver Restore-RTMRules => C:\Program Files\Driver Restore\Driver Restore\DriverRestore.exe Task: {8720C8A5-BB6B-4191-97F1-B51F4500B690} - System32\Tasks\{C2813ABB-4A41-4F03-8E7D-9CC1AFE34C40} => C:\ProgramData\dQgCHYo\dat\SetjbJ.exe Task: {8C718454-4770-4EA4-B80A-70C330087E6D} - System32\Tasks\Ckerloy Client => C:\Program Files\Aromocult\plagudom.exe Task: {91DB217B-A8DF-4EF6-982F-BAC7DE6A9172} - System32\Tasks\{CEE0BB73-2B96-46B9-A79C-64BFCF275308} => C:\Program Files\Essentware\PCKAV\PCKAV.exe Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku Task: {A124291D-AB07-4715-8A13-35A9BBA5FE5D} - System32\Tasks\3c91fcc2-ce59-42b3-b901-f68079520898 => C:\Users\vengador\AppData\Local\Temp\ce98ac2e-20c0-4a93-86f6-bdb3e61caf55.exe Task: {A75676C5-DF58-4129-A0D8-E1708FAAE01A} - System32\Tasks\EOZZZH => C:\Users\vengador\AppData\Roaming\EOZZZH.exe Task: {ABE2F158-E3FA-408D-888B-1554E42052FB} - System32\Tasks\{DF826E43-626E-4816-A5F4-E9E532306CE4} => pcalua.exe -a "C:\Program Files\VS Revo Group\Revo Uninstaller\Revouninstaller.exe" -d "C:\Program Files\VS Revo Group\Revo Uninstaller" Task: {AE31856F-768B-4416-91DE-A9FC0E5C0E5B} - System32\Tasks\ZFNENS => C:\ProgramData\75b516f7def3449383a44752d9f6e6a9\75b516f7def3449383a44752d9f6e6a9.exe Task: {B916BDCD-47AD-44E2-9710-E856FE0F908F} - System32\Tasks\{A64C62FD-E489-4FD1-A9E4-100DF1F88AB6} => C:\Users\vengador\Documents\DCC-E2_original\VCC-E2\DCC-E2_original.exe Task: {BE39FEF5-07F6-4AF4-BAE9-3E9E39D28BE2} - System32\Tasks\{83767AE3-1A21-47AF-BF20-B1CBE4672D71} => Chrome.exe hxxp://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?LastError=1638 Task: {C08D62A7-2E59-4505-B43A-15790D71D202} - System32\Tasks\{1ED364EA-EB60-4415-B56D-1B5236BCEBAE} => C:\ProgramData\dQgCHYo\dat\SetjbJ.exe Task: {C1EFCBA5-D778-4A58-A855-C3DDFA9043A8} - System32\Tasks\{EFD48EA0-E8E7-49D9-9193-C0AD6DE071AC} => pcalua.exe -a C:\Users\vengador\Downloads\sp67283.exe -d C:\Users\vengador\Downloads Task: {CE1DACB0-0D1F-4D3B-8926-B4AFE3772388} - \SimpleFiles Installer Starter -> Brak pliku Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {DE30B5FF-5C3F-4A8E-95A3-F3E64850CB32} - System32\Tasks\{D2027F53-DA84-4C76-9F69-37CF6109984A} => Chrome.exe hxxp://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?page=tsMain Task: {F032786C-ED67-458F-B06B-6835B4F3C7A2} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {F3A41A68-6244-4FC8-8BC2-1D72AF61C287} - System32\Tasks\{BCD45918-03EC-4419-AEE0-167CC9AF92E2} => pcalua.exe -a "C:\Program Files\VAP11G\VAP11G_Setup.exe" -d "C:\Program Files\VAP11G" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4173278026-601312190-193035093-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-4173278026-601312190-193035093-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4173278026-601312190-193035093-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome.6DIE5Y5PZSICHS6GHHHPJHQQB4 DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files\c0db8e320ddb3efa0e6fccc295ebd1ba C:\Program Files\Enigma Software Group C:\Program Files\Plumbytes Software C:\ProgramData\Aeroadmin C:\sh4ldr C:\TOSTACK C:\Users\vengador\AppData\Local\Temp-log.txt C:\Users\vengador\AppData\Local\l3hjpSfeReLyvxXn1o C:\Users\vengador\AppData\Local\brave C:\Users\vengador\AppData\Local\Enigma-TV C:\Users\vengador\AppData\Local\iDeerApp C:\Users\vengador\AppData\Local\SquirrelTemp C:\Users\vengador\AppData\Local\Microsoft\BingSvc C:\Users\vengador\AppData\Roaming\agent.dat C:\Users\vengador\AppData\Roaming\BYAIAMUF C:\Users\vengador\AppData\Roaming\CDDXPOC C:\Users\vengador\AppData\Roaming\EOZZZH C:\Users\vengador\AppData\Roaming\GiftBag.db C:\Users\vengador\AppData\Roaming\GYMDSNeucwSTMTOdohUM7a2FZV C:\Users\vengador\AppData\Roaming\Installer.dat C:\Users\vengador\AppData\Roaming\Main.dat C:\Users\vengador\AppData\Roaming\OYH C:\Users\vengador\AppData\Roaming\WB.CFG C:\Users\vengador\AppData\Roaming\Z2jBPDz3TkPktFmEsYYLs4 C:\Users\vengador\AppData\Roaming\AVAST Software C:\Users\vengador\AppData\Roaming\brave C:\Users\vengador\AppData\Roaming\Maxthon3 C:\Users\vengador\AppData\Roaming\Mozilla C:\Users\vengador\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\搜狐影音.lnk C:\Users\vengador\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\搜狐影音.lnk C:\Users\vengador\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\vengador\Start Menu\Programs\SpyHunter C:\Users\vengador\Documents\AeroAdmin.exe C:\Users\vengador\Documents\RegRun2 C:\Users\Public\Documents\regruninfo C:\Windows\6ec8f5c044a5a5ed090cc09f2c292fe8.exe C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\REIMAGE.del C:\Windows\winstart.bat C:\Windows\system32\kz.exe C:\Windows\system32\PARTIZAN.TXT C:\Windows\system32\Drivers\90037500ac042c37edb2789a3b12ac68.sys C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\log Folder: C:\Program Files\Common Files\AV CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze FRST + GMER Na Pulpicie z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W folderze FRST + GMER powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan) - masz dostarczyć dwa pliki FRST.txt + Addition.txt, Shortcut już nie jest potrzebny. Dołącz też plik fixlog.txt. Na Pulpicie powstał też plik Upload.zip. Shostuj go gdzieś i na PW wyślij mi link do tej paczki.

Plik Addition.txt to nie jest oryginalny raport utworzony przez FRST, tylko plik zapisane przez Ciebie powtórnie i to w złym kodowaniu (ANSI zamiast UTF-8). Konsekwencją jest uszkodzone formatowanie znaków szczególnych. W raporcie są różne infekcje. Pierwsza z nich to rootkit Necurs (jako skutek uboczny zablokował większość poprawnych sterowników Windows). Poza tym, w starcie widać inne szkodniki, w tym uruchamiający skrypt PowerShell. Rootkit ma pierwszeństwo usuwania, dopiero w drugiej fazie będą usuwanie kolejne. 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć dwa obiekty Rootkit.Win32.Necurs.gen (5d8039a9b7e0d966 + syshost32) - zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowy skan FRST (z poprawnym Addition, ale już bez Shortcut). Dołącz log utworzony przez TDSSKiller.

Przez SHIFT+DEL (omija Kosz) skasuj cały folder C:\Users\Daniel\AppData\Roaming\Windows Loader. Następnie usuń za pomocą Hitman wszystkie znalezione wyniki, z wyjątkiem plików PunkBuster określonych jako "Suspicious files".

EDIT: Posty skleiłam. Logi dostarczone. Daj mi moment na przygotowanie instrukcji usuwających.

Dużo elementów adware aktywnych. Poza tym, adware wstawiło dwie fałszywe przeglądarki imitujące Google Chrome i Firefox. Jest tu klon Chrome Bossseed z wbudowanym adware, który przejął wszystkie ustawienia Google Chrome. Jako domyślna przeglądarka jest z kolei ustawiony fałszywy Firefox. Wszystkie skróty "Firefox" i "Google Chrome" kierują do falsyfikatów. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 BossseedP; C:\ProgramData\Bossseed\Bossseed.exe [363904 2016-09-23] () R2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [281600 2016-09-20] () [brak podpisu cyfrowego] R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [419048 2016-09-20] () S4 W3PCC; C:\ProgramData\Sun\Java\extension.dll [340480 2016-09-25] () [brak podpisu cyfrowego] R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [448216 2016-09-23] () S2 CornerSunshineSvc; "C:\Program Files (x86)\Corner Sunshine\CornerSunshineSvc.exe" {8A712DBD-E08B-4D5C-839D-1B9C185FE769} [X] S3 MSICDSetup; \??\G:\CDriver64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] U3 fwkdapog; \??\C:\Users\Konrad\AppData\Local\Temp\fwkdapog.sys [X] Task: {512B3E8D-21AD-4765-ADFC-86537CEA06B3} - System32\Tasks\{D9010DCF-4821-4AC5-87D7-18451886A146} => pcalua.exe -a "D:\Steam\steamapps\common\Left 4 Dead 2\bin\addoninstaller.exe" -d "C:\Users\Konrad\Desktop\Nowy folder (3)" -c C:\Users\Konrad\Desktop\NOWYFO~3\SOLDIE~1.VPK FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Firefox\Firefox.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder C:\Program Files\Plumbytes Software C:\Program Files (x86)\Bossseed C:\Program Files (x86)\Corner Sunshine C:\Program Files (x86)\Firefox C:\Program Files (x86)\WinSaber C:\Program Files (x86)\Common Files\Apps C:\ProgramData\Bossseed C:\ProgramData\corss C:\ProgramData\Sun C:\ProgramData\UvConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Konrad\AppData\Local\{698D0BA5-6E4B-44BD-9F9A-AA32F2E98D9A} C:\Users\Konrad\AppData\Local\Bossseed C:\Users\Konrad\AppData\Local\Chromium C:\Users\Konrad\AppData\Local\Firefox C:\Users\Konrad\AppData\Roaming\Corner Sunshine C:\Users\Konrad\AppData\Roaming\Firefox C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Konrad\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Konrad\Desktop\Mozilla Firefox.lnk C:\Users\Konrad\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Konrad\Downloads\pb-remover.exe C:\Users\Konrad\Downloads\ReimageRepair.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Documents\chrome C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\Reimage.ini C:\Windows\system32\log CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Usunięte zostały wszystkie skróty "Chrome" i "Firefox", utwórz sobie ręcznie skróty do tych przeglądarek. Następnie wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Ustaw jako domyślną przeglądarkę Internet Explorer. Na razie nie można ustawić Google Chrome, dopóki nie zostanie wyczyszczony rejestr ze skojarzeń klona. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Bossseed