picasso

Logi podmienione najnowszymi. W raportach nie widać nic podejrzanego. Uwagi poboczne: 1. Jest zainstalowany Hotspot Shield. Wersja darmowa produkuje reklamy: KLIK. To jest niestety feler chyba wszystkich "darmowych" proxifierów i VPN, a stoi to też w sprzeczności z jakoby "ochroną prywatności". 2. Jest notowalny jakiś problem z WMI. Dostarcz log z WMI Diagnosis Utility. Rozpakuj narzędzie do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji, Start > w polu szukania cmd > z prawokliku Uruchom jako administrator > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki.

Log z poziomu Windows potwierdza wygląd z poziomu RE, zmasakrowane wiele wpisów programów które są jakoby "zainstalowane", tak jakby ktoś wywalił całe katalogi. Zanim to będę dalej analizować: Czy wykonałeś skrypt do FRST i czy ma on jakieś skutki dla klawiatury? Pokaż plik fixlog.txt, który powini tam skąd uruchomiłeś FRST.

To co wykrywa AdwCleaner to odpadek wyszukiwarki mylucky123.com (link do ikonki) w preferencjach, element definitywnie nieaktywny, bo usuwałeś wszystkie wyszkiwarki (w domyśle Google jest bieżącą). Reset natywny Chrome miał pomóc to zlikwidować. Skoro nie działa, to jako metody pozbycia się tego zostają: - Brutalna akcja zerowania obecnego profilu Chrome, która kryje się w AdwCleaner w opcjach. Ta akcja jest brutalna dlatego, że wywala całe pliki Secure Preferences i Web Data, sprowadzając Chrome do "bobaska". - Założenie nowego profilu w opcjach Chrome: Ustawienia > menu Ustawienia > Osoby > Dodaj Osobę > zaloguj się na nią, okno poprzedniego zamknij. Wróć do opcji i usuń poprzedni profil. Obstaję za metodą numer 2. Dziękuję za "uśmiech"!

Z raportów wynika, że adware podstawiło całego Firefoxa w innej ścieżce niż domyślnie Firefox się instaluje, czyli C:\Program Files (x86)\Firefox, i ta instalacja została ustawiona jako domyślna przeglądarka oraz przypięła sobie skrót na Pasku zadań: Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) W systemie nadal jest poprzedni Firefox, bo istnieją dwa poprawne skróty: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) Shortcut: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) Będę usuwać całego "sztucznego" Firefoxa. Ponadto, jest tu jakaś usterka WMI systemowego, ale diagnostykę tego odsuwam na potem. Działania wstępne do przeprowadzenia: 1. Odinstaluj aMuleCustom - to jest delikwent instalowany razem z preparowanym Firefoxem. Przy okazji możesz się pozbyć zbędnego Akamai NetSession Interface, to downloader produktów Autodesk. Doedytowane: jeszcze Panda Security Toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: StartBatch: netsh advfirewall reset md C:\Users\Admin\Desktop\FF md C:\Users\Admin\Desktop\FF\Local md C:\Users\Admin\Desktop\FF\Roaming xcopy /e C:\Users\Admin\AppData\Local\Firefox C:\Users\Admin\Desktop\FF\Local xcopy /e C:\Users\Admin\AppData\Roaming\Firefox C:\Users\Admin\Desktop\FF\Roaming EndBatch: Zip: C:\Program Files (x86)\Firefox;C:\Users\Admin\Desktop\FF R2 CommandHandler; C:\Program Files (x86)\Firefox\bin\FirefoxCommand.exe [272768 2016-09-18] () U2 ed2kidle; C:\Program Files (x86)\walalala co\aMuleCustom\ed2k.exe [236544 2016-09-12] (hxxp://www.amule.org/) [Brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [610688 2016-09-18] () R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [477400 2016-09-18] () S2 AdAppMgrSvc; "C:\Program Files (x86)\Common Files\Autodesk Shared\AppManager\R1\AdAppMgrSvc.exe" [X] ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKU\S-1-5-21-3933479072-2540534226-446759770-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 HKU\S-1-5-21-3933479072-2540534226-446759770-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} SearchScopes: HKU\S-1-5-21-3933479072-2540534226-446759770-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474277055&z=6b102441f9f8bf456353d33gcz1m3zco8mdm1e1wfq&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} BHO: Panda Security Toolbar -> {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} -> C:\Program Files (x86)\pandasecuritytb\pandasecurityDx64.dll => Brak pliku Toolbar: HKLM - Panda Security Toolbar - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - C:\Program Files (x86)\pandasecuritytb\pandasecurityDx64.dll Brak pliku Toolbar: HKLM-x32 - Panda Security Toolbar - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - Brak pliku MSCONFIG\Services: panda_url_filtering => 2 HKLM\...\StartupApproved\Run32: => "Panda Security URL Filtering" HKU\S-1-5-21-3933479072-2540534226-446759770-1000\...\Policies\Explorer: [] CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Firefox C:\Program Files (x86)\pandasecuritytb C:\Program Files (x86)\walalala co C:\Program Files (x86)\WinSaber C:\ProgramData\corss C:\ProgramData\sozy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\aMuleCustom C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2016 — Polski (Polish) C:\Users\Admin\AppData\Local\Firefox C:\Users\Admin\AppData\Roaming\aMule C:\Users\Admin\AppData\Roaming\Autodesk\AutoCAD 2016 C:\Users\Admin\AppData\Roaming\Corner Sunshine C:\Users\Admin\AppData\Roaming\Firefox C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj teraz *.lnk C:\Users\Admin\Desktop\Kontynuuj instalację Nero Free 9.4.12.3d.lnk C:\Users\Admin\Desktop\uczym się\h1019v1 — skrót.lnk C:\Users\Admin\Desktop\uczym się\Wykłady Taczanowskiego — skrót.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom skrót Firefox z Pulpitu (wg Shortcut kieruje na poprawny katalog) i ustaw poprzedniego Firefoxa jako domyślną przeglądarkę. Wyeksportuj zakładki, o ile jest co eksportować. Następnie zamknij Firefox. Klawisz z flagą Windows + R > w polu Uruchom wklej polecenie: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Załóż nowy profil, poprzedni usuń. Zaloguj się na nowy profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Ponadto, na Pulpicie powstał plik Upload.zip. Shostuj go gdzieś i na PW wyślij mi link do pliku.

Potrzebuję więcej czasu na przejrzenie wyników RegCleaner, ale zacznij od pozbycia się obiektów adware automatycznie, potem doczyszczę to co ewentualnie nadaje się z plików REG RegCleaner. Czyli odinstaluj Ace Stream Media 3.1.7 - posiada wbudowany moduł adware preaktywowany po jakimś czasie. Następnie uruchom AdwCleaner, wybierz opcje Skanuj + Oczyść i dostarcz log wynikowy z folderu C:\AdwCleaner.

Na przyszłość: SpyBot Search & Destroy to przestarzały i mało wiarygodny dziś program. On głównie nie wykrywa niż wykrywa bieżące zagrożenia. Do wglądu lista oprogramowania: KLIK. W raportach brak infekcji, więc prawdopodobnie diagnoza jest na podstawie spalonego IP. Orange przypisuje zmienne adresy i przyznany Ci mógł być w użyciu wcześniej przez komputer zainfekowany. Do wykonania tylko drobny skrypt kosmetyczny usuwający wpisy odpadkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin HKU\S-1-5-21-1670374395-1609964414-893824037-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] FF Plugin HKU\S-1-5-21-1670374395-1609964414-893824037-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\6n7p474z.default\searchplugins\filestube.xml [2014-03-07] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [28272 2016-09-22] () S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.5.0.124\Definitions\SDSDefs\20160624.021\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.5.0.124\Definitions\SDSDefs\20160624.021\EX64.SYS [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{80F61901-1C9F-4898-B180-7CF30DED785F} C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{B6395A8B-8583-453B-92CA-203666865105} C:\Windows\system32\Drivers\TrueSight.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Skrypt był uruchamiany aż trzy razy, jak rozumiem FRST nadział się na jakiś błąd? Czy po usunięciu tego podejrzanego rozszerzenia objawy ustąpiły?

Problemem są skróty LNK przeglądarek zmodyfikowane, by otwierać stronę tech-connect.biz przy każdym uruchomieniu skrótu. Oprócz tego jest szkodliwe proxy. Przy okazji będą usuwane odpadkowe strumienie Comodo i puste skróty. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\ULA\Desktop\Skróty\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" ShortcutWithArgument: C:\Users\ULA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" ShortcutWithArgument: C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" ShortcutWithArgument: C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://tech-connect.biz/?ssid=1474458375&a=1054667&src=sh&uuid=b5fad6aa-3a2e-45c2-a74b-871088c593f0,1474458344190" Task: {1EF228E3-06C7-4D3F-A2B6-E9CEC68F5312} - System32\Tasks\{8EE5C568-6B5F-47E7-AAF1-6A4A7CF0F86B} => pcalua.exe -a "E:\Gry\Fairy Godmother Tycoon\Uninstall.exe" Task: {551E0E81-F9D2-447A-A4A8-B6CE38406C64} - System32\Tasks\{41107203-F5ED-4F01-87D5-C9820B27554F} => pcalua.exe -a "E:\Gry\Lavenders Botanicals\Uninstall.exe" Task: {5C530123-A98C-40CF-AC53-E8A7C85DE0F0} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {A72C953B-3448-44C3-811F-784212D107BF} - System32\Tasks\{5880C373-D326-4742-997B-3D74B8409E5C} => pcalua.exe -a "E:\Gry\Incredible Zoo\Uninstall.exe" Task: {AB352DA6-6C0F-475B-906B-A9E8B44EACFA} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {F0A38F24-A2EC-464D-8D21-5948A32DFC08} - System32\Tasks\Driver Booster SkipUAC (ULA) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe HKLM\...\StartupApproved\Run32: => "Adobe ARM" HKU\S-1-5-21-3731761838-2529421182-3744087246-1001\...\StartupApproved\Run: => "Steam" AlternateDataStreams: C:\Users\ULA\Downloads\Badanie Profilu Inwestycyjnego Klienta.pdf:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\Club Control.rar:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\FAKTURA-P-6684962-16010674792607-00082763.pdf:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\forest.jpg:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\Informacja_o_wyniku_naboru.pdf:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\Path to Success.rar:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\Raport (1).pdf:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\RorysRestaurantWinterRushAB.rar:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\Tłumaczenie pytań MBTI.pdf:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\UpdLvndrsBtnclsAB.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\VA SteepMusic 50 Dubstep Vol 58 [2015] MP3 [320 kbps].torrent:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\va_dub_now_weekly_dubstep_099_[tfile.me].torrent:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\YoureThBossAB.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\ULA\Downloads\ZALACZNIK-P-6684962-16010674792607-00082764.pdf:$CmdZnID [26] DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Delicious 13 Emilys Message In A Bottle Platinum Edition\Delicious 13 Emilys Message In A Bottle Platinum Edition.lnk C:\Users\ULA\Desktop\Skróty\Adobe Reader XI.lnk C:\Users\ULA\Desktop\Skróty\DAEMON Tools Lite.lnk C:\Users\ULA\Desktop\Skróty\Revo Uninstaller Pro.lnk C:\Users\ULA\Desktop\Skróty\Steam.lnk RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Czy Games Manager od iWin Inc to była celowa instalacja?

Temat przenoszę do właściwego działu Windows. Problemy zasadnicze nie są wynikową infekcji, choć owszem elementy adware i niepożądanych aplikacji są widoczne. Log z FRST ogólnie nie wygląda dobrze... Jest masa podejrzanych "braków" w zainstalowanych aplikacjach (tak jakby ktoś kasował na ślepo jak leci) i moim zdaniem tu się szykuje reinstalacja Windows. Nie ma kopii zapasowej Przywracania systemu. Komentując raportowane problemy: Problem z klawiaturą prawdopodobnie wynika z naruszenia sterownika Dritek PS2 Keyboard Filter Driver (w rozumieniu, że jest filtr kierujący na martwy już sterownik): S3 DKbFltr; SysWOW64\Drivers\DKbFltr.sys [X] To się da skorygować resetując filtry na klawiaturze. Skrypt można zastosować zarówno spod RE, jak i z poziomu Windows siedząc na tymczasowym koncie (komenda Reg w FRST "oszukuje" ścieżki w RE). Do Notatnika wklej: Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f DisableService: iSafeKrnlBoot DisableService: iSafeNetFilter Plik zapisz jako fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i klik w Napraw (Fix). Zresetuj system. Twój opis wskazuje, że rozwalony jest cały folder C:\Users. Odbiorca jest wyczyszczony, więc konto wygląda na martwe i tu nie ma innego rozwiązania niż założenie nowego konta. Ale to też może być niewykonalne. Wg Twoich słów nie widzisz w C:\Users folderu Default, a to jest matryca nowych kont. Bez niej system nie jest w stanie wygenerować poprawnego konta. No chyba, że nie masz włączonego pokazywania ukrytych folderów i chronionych plików systemu operacyjnego. Folder Default jest ukryty. I poproszę o logi FRST zrobione z poziomu tymczasowego konta wg wytycznych: KLIK. Zawartość konta do zignorowania, ale mnie interesuje widok elementów globalnych które wyglądają fatalnie w logu z poziomu RE i potrzebuję potwierdzenia, że to nie jest przekłamanie skanu RE.

Microsoft wydał aktualizację KB3184143, która usuwa automatycznie GWX i powiązane z aktualizacją do Windows 10 łaty:

1. Wykryte przede wszystkim szczątki adware i cookies. Usuń wszystkie wyniki, wliczając też kopie FRST, bo i tak miały być usuwane. 2. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

AdwCleaner wykrył drobny szczątek adware mylucky123.com w preferencjach Google Chrome. Zresetuj ustawienia Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie aktywuj). Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Po tej operacji sprawdź czy AdwCleaner nadal widzi ten sam rekord.

Przejściowe kłopoty z ładowaniem strony. Jest to dla mnie jasne od początku. Element świadomości instalacji nie gra tu żadnej roli, istotnym jest jakie modyfikacje tworzy dany program (tzn. na terenie który zazębia się usterką). Jak mówiłam, te dwa na razie są widoczne w logu jako potencjalni kandydaci, gdyż ShellIconOverlayIdentifiers to moduły DLL wstrzykiwane do explorer.exe. Z wizualnego punktu widzenia w eksploratorze jest to obrazowane jakimś specjalnym ficzerem np. ikoną nakładkową na folderach. ShellExView jest tu potrzebny, by wyłuskać wszystkie modyfikacje niedomyślne, bo ich jest więcej niż tylko ShellIconOverlayIdentifiers. Na razie zadany tylko ogólny test mający zdowodować czy problem leży w rozszerzeniach powłoki.

Temat przenoszę do działu Windows. To nie jest problem infekcji. W raportach zaś brak konkretów, błąd w Dzienniku jest enigmatyczny. Te objawy zwykle są powiązane z jakimś rozszerzeniem pogramu trzeciego domontowanym do powłoki eksploratora. FRST nie jest orientowany na taki skan, choć widać conajmniej wpisy ShellIconOverlayIdentifiers od IDM i MegaSync. Przeprowadź wstępny test za pomocą ShellExView x64. Przez klik w kolumnę Company posortuj wpisy w taki sposób, by niedomyślne (na różowym tle) ułożyły się w jednym bloku. Z wciśniętym CTRL zaznacz te wpisy, z prawokliku wyłącz i zresetuj system. Podaj czy widzisz różnicę.

Użyłeś bardzo stary FRST, pozbawiony nowych skanów i poprawek (m.in. zero filtrowania natywnych wpisów Windows 10): Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja:18-10-2015 Najnowsza wersja jest z wczoraj. Pobierz z przyklejonego i zrób nowe logi: KLIK. Temat przenoszę do Windows, to nie wygląda na problem infekcji. O ile dobrze rozumiem, przestój jest na fazie przed logowaniem, co by wskazywało na urządzenia i/lub sterowniki. W Dzienniku zdarzeń widzę za to błąd pasujący do późniejszej fazy logowania, tzn. zawias usługi systemowej Menedżer sesji lokalnej: Dziennik System: ============= Error: (09/21/2016 11:27:57 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa LSM zawiesiła się podczas uruchamiania.

Temat przenoszę do działu Windows. Brak oznak infekcji. To co się rzuca w oczy, to naruszenie systemowej usługi Podstawowy aparat filtrowania (BFE): ==================== Inne obszary ============================ MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. bfe => Usługa "Zapora systemu Windows" nie jest uruchomiona. Dziennik System: ============= Error: (09/20/2016 06:00:56 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu: Odmowa dostępu. Error: (09/20/2016 06:00:53 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Zapora systemu Windows zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu: Odmowa dostępu. Rozpocznij od przywrócenia uprawnień dla BFE na podstawie tych instrukcji: KLIK.

Zapakuj cały folder Backups do ZIP, shostuj gdzieś i wyślij mi na PW. To mi się przyda do sprecyzowania co konkretnie mogło doprowadzić do błędów, na wypadek gdyby ktoś nagrabił sobie to samo i nie miał kopii zapasowej. Na wszelki wypadek możesz też zrobić nowe logi z FRST (FRST.txt + Addition.txt).

Czy to ten RegCleaner? To gruchot sprzed 13 lat. Używanie czegoś takiego jest niewiarygodne i niebezpieczne. Ponadto, posiadasz system 64-bit, a to ewidentnie program 32-bit i nie widzi 64-bitowej części systemu (czyli połowy rejestru), więc ogólnie nie nadaje się dla Twojej platformy. Uruchom wszystkie pliki z zieloną ikonką, poprzez prawoklik na plik > Scal > potwierdź import do rejestru. To pliki *.reg, tylko nie widzisz rozszerzenia, bo masz w Opcjach folderów zaznaczoną opcję "Ukrywaj rozszerzenia dla znanych typów plików". Wszystkie, nie tylko z dnia 18, bo zero zaufania do tego co robił program. Po imporcie plików zresetuj system i podaj czy są zmiany.

Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Pytałam o czyszczenie rejestru, bo te błędy w Dzienniku zdarzeń pachną właśnie zbyt przedsiębiorczym czyszczeniem rejestru... Czy posiadasz kopię rejestru zrobioną przez RegCleaner przed usuwaniem? Niestety to jedyna możliwość naprawy, którą widzę. Wszystkie inne kopie rejestru produkowane automatycznie przez Windows, czyli RegBack oraz rejestr w punktach Przyracania systemu, są zbyt nowe (problem zanotowałeś w niedzielę 18 września): LastRegBack: 2016-09-19 20:25 ==================== Restore Points ========================= 20-09-2016 15:55:23 Windows Update A co namieszał RegCleaner jest nie do odgadnięcia bez podania raportu który utworzył podczas czyszczenia.

Temat założony w odpowiednim dziale, ale bez odpowiednich danych. Zasady działu, są wymagane raporty z FRST + GMER: KLIK.

W przypadku tu omawianym (ręczne uruchomienie pliku "ze sponsorami") przydatna byłaby np. komercyjna wersja MBAM/Emsisoft/Zemana z rezydentem (wstrzymanie instalacji), ewentualnie darmowy Unchecky do "odznaczania" pól sponsorów. Obszerniejsza lista podzielona wg zadań tu: KLIK. Miło mi. Wielkie dzięki.

W Firefox jest zamontowany szkodliwy dodatek jakoby "aktualizujący Flash". Takie rozszerzenie nie występuje w Mozilla Add-ons. FF Extension: (Aktualizacja dodatku Flash) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\d2sjtju3.default\Extensions\dodatek@firefox.pl.xpi [2016-09-02] Masz też włączone przywracanie poprzedniej sesji, które będę wyłączać. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Zip: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\d2sjtju3.default\Extensions\dodatek@firefox.pl.xpi FF Extension: (Aktualizacja dodatku Flash) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\d2sjtju3.default\Extensions\dodatek@firefox.pl.xpi [2016-09-02] FF Session Restore: -> [funkcja włączona] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\o C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Divinity Original Sin.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Gaming Evolved C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\User.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zweryfikuj ponownie konto Facebook czy nie zdążyło się dodać coś niepożądanego w Aplikacjach. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz plik fixlog.txt. Na Pulpicie powstanie też plik Upload.zip - shostuj gdzieś i na PW wyślij mi link.

Wszystko wykonane. Teraz: 1. Uruchom DelFix w celu usunięcia FRST i AdwCleaner. 2. Przeprowadź pełne skanowanie w Malwarebytes Anti-Malware i dostarcz wynikowy raport, o ile coś zostanie znalezione.

Hitman wykrył tylko jeden drobny klucz adware i trochę ciastek, wszystko do usunięcia za pomocą programu. Hitman Pro możesz usunąć z dysku lub zostawić do skanów na żądanie w przyszłości (ale usuwanie wykrytych obiektów tylko przez 30 dni). I skasuj plik C:\delfix.txt z dysku. Klawisz z flagą Windows + R > certmgr.msc > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > usuń delikwenta Y2Go. Pokazane ukryte obiekty są poprawnym natywnym składnikiem instalacji Windows: BOOTMGR (Menedżer rozruchu) + folder Boot = Pliki rozruchowe Windows. Usunięcie spowoduje niemożność uruchomienia Windows. BOOTNXT - Plik związany z funkcją Windows To Go: KLIK. hiberfil.sys (plik Hibernacji) + swapfile.sys (plik pamięci aplikacji Modern/Uniwersalnych) + pagefile.sys (standardowy plik pamięci wirtualnej) = Więcej na temat tych plików: KLIK. Ten pierwszy zniknie, jeżeli zostanie wyłączona Hibernacja. PerfLogs = Folder powiązany z systemowym monitorem wydajności. Recovery = Środowisko Odzyskiwania Systemu Windows (RE). System Volume Information = Folder gromadzący m.in. dane Przywracania systemu, tworzony na każdej partycji. Nieusuwalny i nie wolno go też opróżniać ręcznie. Czyszczenie Przywracania systemu w poprawny sposób już podałam powyżej. $Recycle.Bin - Rzeczywisty folder Kosza. To co jest na Pulpicie to tylko wirtualny skrót do tego miejsca. Folder można usunąć, ale odtworzy się. Folder jest tworzony na każdej partycji. Obiekty dodane wtórnie to foldery $WINDOWS.~BT (związany z aktualizacją / upgradem Windows) i Intel (pewnie tam są kopie zapasowe sterowników) oraz plik devicelist.txt (nie wiem co w nim jest, prawdopodobnie można go usunąć, ale korzyści żadne). Wystarczy przestawić opcję Ukryj chronione pliki systemu operacyjnego w Opcjach folderów.