picasso

Brakuje obowiązkowych raportów z FRST. A tematami innych użytkowników nie należy się sugerować, w każdym przypadku instrukcje są inne, dostosowane do tego co widać w systemie. Program Y2Go deinstalowałeś, więc ten proces mógł skasować automatycznie certyfikat. W temacie innego użytkownika ta instalacja była naruszona w inny sposób.

Brak oznak infekcji. HackTool.AutoKMS to detekcja cracka aktywacji Windows i Office. W raportach nie widzę oznak tej instalacji, więc to wygląda na odpadek po cracku który kiedyś był używany i niedoczyszczono po nim. Przez SHIFT+DEL (omija Kosz) skasuj z dysku cały folder C:\Program Files\KMSpico, folder C:\FRST oraz FRST/GMER i ich logi. To wszystko. PS. A GMER nie mogłeś dołączyć, bo zapisałeś go opcją w programie do pliku *.log (zabroniony w załącznikach), a nie jak w instrukcji opcją Kopiuj do ręcznego zapisu pliku *.txt.

Wg raportów FRST i GMER nie ma wpisów startowych i procesów infekcji, robiłeś zresztą Przywracanie systemu które cofnęło zmiany (lub infekcja ukończyła zadanie i samoczynnie się skasowała). Notatki ransom powinny być na wszystkich dyskach w większości folderów i dokładnie tego się spodziewałam mówiąc o obecności wielu dysków, a dziwić tu może że masz tylko częściowo zaszyfrowane dane w obrębie jednego folderu a nie wszędzie. To standardowe zachowanie takich infekcji - wstawiają komunikaty o opłatach za odkodowanie plików w ogromnej ilości miejsc, tam gdzie próbowały szyfrować dane. Po to powstał program RansomNoteCleaner, by masowo je usunąć. Co masz na myśli? Ten rodzaj infekcji próbuje szyfrować dane na każdym dostępnym dysku lokalnym i sieciowym, więc może być coś tam namieszane. Czy na pewno dane na innych dyskach są nienaruszone? 1. Doraźnie możesz doczyścić te śmieci o których mówiłam (odpadki adware, wpisy puste i lokalizacje tymczasowe). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Zip: C:\ProgramData\encfiles.log;C:\Users\sm\Documents\uid.txt;C:\Users\sm\Downloads\Files encrypted.txt GroupPolicyScripts-x32: Ograniczenia <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\...\Winlogon: [Userinit] C:\Windows\SysWOW64\userinit.exe, U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [28272 2016-09-25] () S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X] MSCONFIG\Services: HitmanProScheduler => 2 MSCONFIG\Services: Nimzap => 2 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku Task: {056795F2-CF65-4221-B486-5221608A113D} - System32\Tasks\Informacje o aplikacji 1.56.4 => C:\Users\sm\AppData\Local\Informacjeo\cscapi.exe Task: {3F9F910B-A3CA-4608-B9CE-AFD127823FE9} - System32\Tasks\{B2CB4621-D84A-4218-B576-8814C159E8B8} => pcalua.exe -a E:\PROGRAMY\Sterowniki\Sterowniki-klawiatura+mysz\g9\setpoint510_g9.exe -d E:\PROGRAMY\Sterowniki\Sterowniki-klawiatura+mysz\g9 Task: {7F3C904B-B841-4A04-AFD3-548B414F335E} - System32\Tasks\{C7CA1648-059C-46E7-BC6C-5320B3FC5030} => pcalua.exe -a "K:\Program files\cod4\pb\pbsetup.exe" -d "K:\Program files\cod4\pb" Task: C:\Windows\Tasks\DailyJive.job => c:\programdata\{2292c750-c4bc-3ec0-2292-2c750c4b1d43}\setup.exe <==== UWAGA Task: C:\Windows\Tasks\EasyDrag.job => c:\programdata\{62300322-db80-0674-6230-00322db80c8b}\frank 2014 movie soundtrack 320kbps.exe <==== UWAGA Task: C:\Windows\Tasks\TruFilters.job => c:\programdata\{8b86d72e-7d33-680b-8b86-6d72e7d35cb9}\sevensetup.exe <==== UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3889843123-173433419-3160748714-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm HKU\S-1-5-21-3889843123-173433419-3160748714-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-3889843123-173433419-3160748714-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-3889843123-173433419-3160748714-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-3889843123-173433419-3160748714-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\Program Files\Reimage C:\ProgramData\uid.txt C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\RogueKiller C:\ProgramData\Norton C:\Users\sm\AppData\Local\Temp.dat C:\Users\sm\AppData\Local\NPE C:\Users\sm\AppData\Roaming\fvVDTAjCtH C:\Users\sm\AppData\Roaming\uid.txt C:\Users\sm\AppData\Roaming\Opera Software C:\Users\sm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\sm\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\sm\AppData\Roaming\Microsoft\Windows\SendTo\The Bat!.LNK C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Bat!.LNK C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent.lnk C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\sub2divx332 C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\sub2divx332_videoaudio.pl C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\xln-online-installer-win C:\Users\sm\Desktop\RogueKiller-39028-dp.exe C:\Users\sm\Downloads\Files encrypted.txt C:\Users\sm\Documents\uid.txt C:\Windows\Reimage.ini C:\Windows\system32\Drivers\TrueSight.sys CMD: ipconfig /flushdns CMD: netsh advfirewwall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Na Pulpicie powstał też plik Upload.zip. Shostuj gdzieś i wyślij mi na PW link. 2. Nabite notatki ransom możesz spróbować usunąć za pomocą RansomNoteCleaner (należy wybrać typ infekcji i wskazać, by czyszczenie odbyło się z całości dysku).

Skoro wcześniej był jednak starszy punkt Przywracania, a nie pomógł, nie jest wykluczone że zaszyfrowane dane po prostu nie były w nim uwzględnione lub infekcja wykonała jakąś manipulację uniemożliwiającą ten rodzaj operacji. Nic więcej tu nie da się obecnie wymyślić, jedynie próba z programem do odzyskiwania danych. Jeśli to zawiedzie, zachować zaszyfrowane pliki w nadziei, że w przyszłości pojawi się dekoder. Na razie zero szans na dekoder, ta infekcja jest świeża i nawet jej mechanizm nie jest obecnie w pełni znany. Tak, wiem co Ci się pokazuje. Te notatki ransom nie są szkodliwe same w sobie i można je usunąć. W linku który podałam autor serwisu Ransomware ID już wstawił do niego dane o tej infekcji, czyli przypuszczalnie RansomNoteCleaner obsługuje już usuwanie notatek tej infekcji.

Wg FRST nie ma takiego punktu Przywracania w systemie, najstarszy punkt jest datowany na 24: ==================== Punkty Przywracania systemu ========================= 24-09-2016 04:00:13 Operacja przywracania 24-09-2016 20:09:56 Norton_Power_Eraser_20160924200956449 24-09-2016 20:14:10 Operacja przywracania 25-09-2016 12:51:52 Norton_Power_Eraser_20160925125151644 Jak mówię, nie ma sposobu na odkodowanie plików. Jedyne co Ci zostaje, to próba użycia programu do odzyskiwania danych. Szanse są marne, bo dysk podlegał zapisom. A czyszczenie systemu ze śmieci to sprawa podrzędna.

Dodałeś logi. W logu następujące elementy: 2016-09-24 04:04 - 2016-09-24 10:20 - 00000328 _____ C:\Users\sm\Downloads\Files encrypted.txt 2016-09-24 02:25 - 2016-09-24 04:03 - 00000020 _____ C:\Users\sm\Documents\uid.txt 2016-09-24 02:25 - 2016-09-24 04:03 - 00000020 _____ C:\Users\sm\AppData\Roaming\uid.txt 2016-09-24 02:25 - 2016-09-24 04:03 - 00000020 _____ C:\ProgramData\uid.txt To Unblockupc Ransomware i obecnie nie ma szans na odkodowanie plików: KLIK. Punkty Przywracania odpadają, używałeś najstarszy dostępny, który najwyraźniej został utworzony już po ataku infekcji. Poza tym, jest tu masa dysków / partycji i zapewne każdy z nich podlegał szyfrowaniu, a Przywracanie systemu domyślnie chroni tylko dysk systemowy, więc ta metoda i tak nie ma tu zastosowania. Jedyne więc co możesz zrobić, to skorzystać z programów do odzyskiwania danych, ale czarno to widzę. Dysk cały czas był na chodzie, liczne zapisy (w tym Przywracanie systemu), co sukcesywnie obniża zdolność odzysku poprzednich wersji. Poza tym, nie jest do końca znana natura infekcji, jeśli wymazuje dane w tzw. "bezpieczny sposób", to nawet odzysk tą metodą odpada. Jedyne czym jestem się w stanie zająć, to doczyszczenie śmieci w logu i nic więcej. Decyduj co robimy.

Jeśli porządki w aplikacjach są jeszcze w toku, to narazie się wstrzymam z doczyszczaniem drobnostek. Po wszystkich deinstalacjach zrób nowe raporty FRST.txt + Addition.txt i podmień załączniki w poście powyżej.

Opis wskazuje, że doszło do infekcji szyfrującej dane. I prawdopodobnie odszyfrowanie plików awykonalne (czyli utrata danych), skanery nie pomogą odszyfrować plików (mogą jedynie usunąć infekcję która do tego doprowadziła). Jest tu za mało danych, jest multum takich infekcji i muszę wiedzieć o którą chodzi. Proszę o raporty z FRST i GMER. PS. Tak, ComboFix nie działa na nowszych systemach niż pierwsza wersja Windows 8. I tak nic by tu nie wskórał.

Infekcja grasuje, ale nie pomogą żadne skanery uruchomione spod Windows. Infekcja nie jest w Windows tylko w routerze. Poniższy adres IP pobierany z routera jest holenderski: Tcpip\Parameters: [DhcpNameServer] 217.12.218.49 8.8.8.8 Tcpip\..\Interfaces\{fb4685f4-80c9-4612-9582-c09c9b33d3c0}: [DhcpNameServer] 217.12.218.49 8.8.8.8 Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony działania poboczne: 2. Odinstaluj stare wersje: Adobe Flash Player 22 NPAPI, Apple Software Update, Java 8 Update 45, Obsługa programów Apple, Opera Stable 31.0.1889.99, QuickTime 7, Shared C Run-time for x64 (odpadek po odinstalowanym McAfee). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1332F807-AC5B-483F-AFE4-70579AE9F0F5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {13FC41ED-F771-4E0E-BFCA-E86ACEEDA1D1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {360F2EBD-5242-43FB-8950-573D85690531} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {3987D85B-9932-498A-8301-3591BE23BFDE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4396236F-33D2-4D98-9732-A0592CAA3F0A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {99E02C5D-1804-4DA4-9643-4069FB290B0A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {B245FC28-BBB5-485F-B1FC-F30D9C23BCA9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D3831AFA-97A2-429E-AA04-B17BC581203F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {DB090064-95BA-481B-A4CA-052A8EDD2D43} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {DC187BC8-57AB-407A-BB6F-7FFADA566A76} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DE8D75ED-823C-4820-A8B5-4FAC2F4F0C0A} - System32\Tasks\UMonitor Task => C:\WINDOWS\system32\UMonit64.exe Task: {E1A9FF36-8CF0-4B67-B78A-D73C3700EA66} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E81011DE-FF46-4753-A696-92CBB0E6F323} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku U0 aswVmm; Brak ImagePath HKLM\...\Run: [RtsCM] => RTSCM64.EXE HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BHO-x32: Brak nazwy -> {1017A80C-6F09-4548-A84D-EDD6AC9525F0} -> Brak pliku BHO-x32: Brak nazwy -> {D2C5E510-BE6D-42CC-9F61-E4F939078474} -> Brak pliku SearchScopes: HKU\S-1-5-21-1242821795-1179061920-3428311120-1002 -> {D89B578C-5E3F-4454-9A05-4FA1ABAC46BB} URL = DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\AVAST Software C:\ProgramData\AVAST Software C:\Users\Lapek\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\Lapek\AppData\Local\Google\Chrome\User Data\System Profile C:\WINDOWS\system32\Drivers\aswsnx.sys.147379071746807 CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj jaki model routera jest w rękach.

Czyszczenie z adware/PUP pomyślnie zakończone. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. GMER dokasuj ręcznie. Sprawdź czy na czystym rozruchu jest jakaś różnica: KLIK.

Owszem, bieda z miejscem na dysku i to podstawowa przyczyna na powolnego działania. Poza tym, nie za dużo tu widać, tylko dwa niepożądane toolbary oraz stare programy wliczając Avast. Czyli: 1. Odinstaluj śmieci i starocie: Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.12) - Polish, Ask Toolbar, Avast Free Antivirus, DAEMON Tools Toolbar, Java 8 Update 31, Java™ 6 Update 22. Reszta aplikacji pod ocenę indywidualną, nie wiem z czego korzysta użytkownik. 2. W Chrome odmontuj wszystkie rozszerzenia od Avast oraz adblocki. Zastąp je setem uBlock Origin. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.57\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.69\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.79\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.30.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.29.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.149\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.29.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.28.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.65\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku Toolbar: HKU\S-1-5-21-2378602560-3276449749-415837472-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku SearchScopes: HKU\S-1-5-21-2378602560-3276449749-415837472-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search?q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\found.000 RemoveDirectory: C:\Program Files\AskPartnerNetwork RemoveDirectory: C:\ProgramData\AskPartnerNetwork RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\MG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome CMD: del /q "C:\Program Files\*.tmp" CMD: del /q "C:\Users\MG\AppData\Local\{D9C236FA-60FC-40F3-A2E5-54E78AB55F42}" CMD: del /q "C:\Users\MG\Desktop\skróty\Adobe Reader 9.lnk" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition bez Shortcut. Dołącz też plik fixlog.txt.

1. To rozbudowany wielofunkcyjny pakiet, więc zalecana oszczędność, tzn. nie dodawanie już innych złożonych instalacji. Możesz się za to zainteresować mniejszymi dodatkami do przeglądarek (np. uBlock Origin). Ważnym jest wyposażenie się w system kopii zapasowych danych. 2. Do tego celu służy McAfee Consumer Product Removal Tool. Wejdź w Tryb awaryjny * i skorzystaj z narzędzia. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny.

Log Search Registry uległ redukcji, więc przestawienie domyślnej przeglądarki wykonane przy tym podejściu. MBAM widzi tylko dwa odpadkowe klucze i nie są to wpisy SeaBlue oraz zip fakturki. Doczyszczanie: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\StartupApproved\Run: => "BingSvc" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder05 DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\{EB52F1AB-3C2B-424F-9794-833C687025CF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Seablue DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\irc DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\mailto DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\MMS DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\news DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\nntp DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\sms DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\smsto DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\tel DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\urn DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\webcal DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Clients\StartMenuInternet\ChromeHTML DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Seablue DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\25c87c77_0 DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ff7e8424_0 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\ProgramData\Seablue\protect\protect.exe" /f Reg: reg delete "HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe" /f Reg: reg delete "HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Seablue\Seablue\chrome.exe" /f CMD: del /q C:\Users\Hubert\Desktop\pobierz_Fakturka_V1.46.zip RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Hubert\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Zresetuj system. Teraz Google Chrome powinno być ustawialne jako domyślna przeglądarka.

Nie ma oznak wykonania tych akcji: 1. Nadal domyślną przeglądarką jest falsyfikat Chrome: Internet Explorer Wersja 11 (Domyślna przeglądarka: "C:\Program Files (x86)\Seablue\Seablue\chrome.exe" "%1") Proszę ustaw co należy, a po tym ponów wyszukiwanie w rejestrze i dostarcz nowy SearchReg.txt. 2. W Chrome nadal strony startowe adware.

Na przyszłość: trzymaj się proszę konfiguracji skanu FRST rozpisanej w przyklejonym. Opcje Lista BCD, MD5 sterowników, Pliki z 90-dni nie miały być zaznaczone. To skany pod specyficzne i od dawna nie występujące tu infekcje, a produkują masę zbędnych danych. W systemie widać zmienione adresy DNS na rosyjskie oraz drobne elementy odpadkowe różnych infekcji, zaś błąd powoduje wpis Run. Ta konkretna infekcja Infekcja "Ujdmedia" wygląda na nabytą na skutek matactw z aktywacją Windows. W systemie m.in. te obiekty: KLIK. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na widoczne tam połączenie > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj obiekty cracków: KMSnano 24.1 + TAP-Windows 9.21.2. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2889296390-1449361320-2100285011-1001\...\Run: [Ennztion] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Grzesiek\AppData\Local\Ujdmedia\steamCtrlShell64.dll HKLM-x32\...\Run: [] => [X] Task: {4DF666D8-D886-43B8-8E06-76B498AABECD} - System32\Tasks\PPI Update => "hxxp://dazwindowsapps.xyz/download/index.php?mn=9995" Task: {A7B18C6C-4D5C-4328-94DB-446935013788} - System32\Tasks\{A5DAA373-27D1-45F2-9AB6-E7CA1FA8EF4D} => pcalua.exe -a D:\Gry\Syberia2\Syberia2.exe -d C:\Users\Grzesiek\Desktop Task: {F8EA563E-363D-4892-A877-6E44F33D5253} - System32\Tasks\SmartShare => C:\Program Files (x86)\LG Software\LG Smart Share\SmartShareStart.exe AlternateDataStreams: C:\WINDOWS\system32\Drivers\rockusb.sys:$CmdZnID [26] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\70C6D100-1474564367-81E1-28C8-3085A916A760 C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Webitar Production Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\Users\Grzesiek\AppData\Local\Temptable.xml C:\Users\Grzesiek\AppData\Roaming\article.appendix.title.properties.xml C:\Users\Grzesiek\AppData\Roaming\dsc_firewall_tile.png C:\Users\Grzesiek\AppData\Roaming\Fighter5 Flight Path.mesh C:\Users\Grzesiek\AppData\Roaming\WearStoplight.8 C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SolidWorks 2012 x64 Edition.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Grzesiek\Downloads\Microsoft Toolkit 2.5.3 Final C:\Users\Grzesiek\Downloads\Microsoft Toolkit 2.5.3 Final.rar C:\TOSTACK C:\Windows\KMSServerService C:\Windows\SysWOW64\ssprs.dll CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zostały usunięte określone skróty Google Chrome zawierające zamienniki Unicode w nazwach. Przypnij do Paska zadań nowy skrót. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Tak, zgadza się. Dlatego jakiś czas temu wstawiłam ten tekst w opisie DelFix: "Pobieranie narzędzia mogą blokować określone antywirusy. W takim przypadku należy wyłączyć osłonę antywirusową na czas pobierania i operacji z narzędziem".

Temat przenoszę do działu Windows, problemy nie są wynikiem infekcji (pomijając pierwszy punkt), odczyt GMER notujący rootkity do zignorowania (to komponenty systemu). W systemie jest zainstalowany lewy skaner ByteFence Anti-Malware i to może być przypuszczalna przyczyna. Odinstaluj go i zresetuj system, a po tym zrób nowe logi FRST. Instalowany m.in. z "Asystenta pobierania" z dobrychprogramów: KLIK. Log sugeruje, że nabyłeś to właśnie z tego serwisu, bo w systemie jeszcze szczątki grupy charakterystycznej dla "Asystenta pobierania", czyli PriceFountain i Corner Sunshine. Doczyszczanie tego gdy otrzymam nowe logi po deinstalacji Bytefence. Log wyraźnie wskazuje, że co dopiero była duża aktualizacja Windows (na dysku katalog C:\Windows.old) i została zainstalowana tzw. Rocznicowa aktualizacja (Wersja 1607): Platform: Windows 10 Education Wersja 1607 (X64) Język: Polski (Polska) Ta edycja systemu zmienia wygląd Menu Start. Jest pionowa lista aplikacji, której nie można wyłączyć, a uprzednie pozycje kierujące do Ustawień etc. to teraz tylko ikonki bez pełnych opisów. Wg raportu masz włączone przywracanie sesji: CHR Session Restore: Default -> [funkcja włączona] Ustawienia > karta Ustawienia > Po uruchomieniu > Kontynuuj tam gdzie skończyłem zmień na jedną z pozostałych opcji.

Miszel03 - Docelowo pomocnik w dziale Malware, ale dostosowanie do zasad pracy tutaj i przeszkolenie potrwa, nie mogę więc określić czasu rozpoczęcia przez niego pracy. Miszel03: Prowadzę pomoc w dziale Pomocy doraźnej.

Czy na pewno po czyszczeniu AdwCleaner nadal występuje zamulenie? Obecnie w raporcie tyllo jeden aktywny proces od niepożądanej instalacji Bing, brak innych procesów które zapewne były wcześniej. A Chrome nie działa, gdyż zostało podstawione fałszywym klonem SeaBlue i niektóre skróty nadal kierują na już usunięte pliki klona. Działania do przeprowadzenia 1. Odinstaluj stare wersje Bonjour, Java 8 Update 31. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Seablue_protect; "C:\ProgramData\Seablue\protect\protect.exe" [X] S2 Seablue_update; "C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe" [X] S2 eamonm; system32\DRIVERS\eamonm.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\system32\DRIVERS\ew_juwwanecm.sys [X] S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\Run: [bingSvc] => C:\Users\Hubert\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-11] (© 2015 Microsoft Corporation) HKLM\...\StartupApproved\Run: => "egui" HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\StartupApproved\Run: => "HEXelon MAX" Task: {1AC794CC-ABC2-4D13-AC6C-166E35E228A9} - System32\Tasks\SeablueBrowserUpdateCore => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe Task: {2A835466-9965-4F17-AB38-E5031CC6BF30} - System32\Tasks\SeablueCheckTask => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe Task: {6484112A-0A68-4CD1-A42F-7675513A0DA8} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 4.2\upgrade.exe [2016-09-21] (ESET) Task: {841E4D03-7D0C-4809-9B93-720A6728E6EA} - System32\Tasks\SeablueBrowserUpdateUA => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku CustomCLSID: HKU\S-1-5-21-3762805509-169700252-1295638891-1002_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Hubert\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.nuesearch.com/?type=sc&ts=1472037228&z=ef84cdaa81f52dde355f7fcg8z8mco0e4c6mbo9odq&from=eve0822&uid=ST500LT012-1DG142_S3PDHCNR StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.nuesearch.com/?type=sc&ts=1466496565&z=631a8414d8b51b633b39a2bgdz8q0qdzft4q2wbqbw&from=wpm0616&uid=ST500LT012-1DG142_S3PDHCNR HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131183153839929765&GUID=E7DE74A2-97E2-1576-501F-E9E3701E06D5 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131183153839939764&GUID=E7DE74A2-97E2-1576-501F-E9E3701E06D5 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE12&ocid=UE12DHP SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-3762805509-169700252-1295638891-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} SearchScopes: HKU\S-1-5-21-3762805509-169700252-1295638891-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 4.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Hubert\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\Hubert\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Hubert\AppData\Local\Microsoft\BingSvc C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Hubert\Desktop\WarThunder.lnk C:\Users\Hubert\Desktop\tekli muzyczka\Mobile Partner.lnk C:\Windows\SysWOW64\*.html C:\Windows\SysWOW64\_TSpm Folder: C:\Windows\system32\setup Folder: C:\Windows\SysWOW64\setup CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. SeaBlue jest domyślną przeglądarką, ustaw Firefox lub Internet Explorer jako domyślną. Na razie nie można tego zrobić dla Chrome (dopóki nie zostanie wyczyszczony rejestr z klas SeaBlue). Następnie wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Seablue Dołącz też plik fixlog.txt.

AdwCleaner znalazł szczątki adware/PUP. Uruchom go ponownie, wybierz po kolei opcje Skanuj + Oczyść i przedstaw log z usuwania.

Upload.zip był tylko dla poszerzenia mojej wiedzy w jaki sposób ten sfałszowany Firefox był skonstruowany i co było w jego profilach (poza widocznością skanu FRST). Wszystkie komponenty kopiowane do Upload.zip zostały już dawno usunięte w pierwszym podejściu. Wszystko zrobione. Teraz jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Kończymy: 1. Odinstaluj stare wersje z lukami: Apple Software Update, Bonjour, Java 8 Update 66 (64-bit), Java 8 Update 66, Obsługa programów Apple, Opera 12.17, QuickTime 7. Do aktualizacji Internet Explorer. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

WMI pomyślnie naprawione. Jeszcze te dwa ukryte odpadki po AutoCAD 2016 zostały do usunięcia za pomocą Program Install and Uninstall Troubleshooter: AutoCAD 2016 — Polski (Polish) (Version: 20.1.49.0 - Autodesk) Hidden AutoCAD 2016 Language Pack – Polski (Polish) (Version: 20.1.49.0 - Autodesk) Hidden Natomiast widzę inną zmianę, obecnie na liście zainstalowanych są już dwa Firefoxy, 32-bit oraz 64-bit: Mozilla Firefox 48.0.2 (x86 en-US) (HKLM-x32\...\Mozilla Firefox 48.0.2 (x86 en-US)) (Version: 48.0.2 - Mozilla) Mozilla Firefox 49.0.1 (x64 pl) (HKLM\...\Mozilla Firefox 49.0.1 (x64 pl)) (Version: 49.0.1 - Mozilla) Poprzednio był tylko ten pierwszy. Jeśli obecnie używasz tylko edycji 64-bit, odinstaluj starszą edycję 32-bit.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Czyli zgodnie z planem usunięte. Na koniec zastosuj DelFix, a GMER i jego log dokasuj ręcznie. To wszystko.