picasso

Wczoraj wydano nowszego Firefoxa 49. Sprawdź czy ta nowa wersja zmienia coś.

Nie przedstawiłeś pliku Fixlog.txt z wynikami, ale jeśli wszystkie odczyty potwierdzały usunięcie, to już sobie to darujmy. Nowe raporty FRST i GMER nie są mi już potrzebne. Były tu też różne skany wykonywane, więc ich nie będziemy powtarzać. 1. Przez SHIFT+DEL (omija Kosz) skasuj ręcznie FRST/GMER i ich logi z "Nowego folderu" na Pulpicie. Uruchom DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Dla świętego spokoju możesz jeszcze uruchomić Hitman Pro. Jeśli wykryje coś innego niż kopie FRST64.exe w Temporary Internet Files (to fałszywy alarm, ale pliki i tak do skasowania), dostarcz raport.

Obecnie w GMER nie ma już tej detekcji, co nasuwa wątpliwości - to równie dobrze mogła być kolizja skanerów, tzn. losowy obiekt np. MBAM załadowany tymczasowo, tylko podejrzanym było oznaczenie usługi jako "ukrytej" (to nie powinno mieć miejsca). Pozostałe zadania w większości wykonane, ale do wdrożenia poprawki. Pobierałam w Fixlog dane o wykluczeniach Windows Defender i są obecne wpisy malware. 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\04613705.sys => ""="Driver" Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom Napraw (Fix) i przedstaw wynikowy fixlog.txt. 2. Niestety Google Chrome zrzuciło kolejny profil pod nienormalną nazwą ChromeDefaultData (Chrome powinno wygenerować profil pod nazwą "Default" lub "Profile Numer"). Przeinstaluj Chrome od zera. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Po deinstalacji upłynnij cały folder C:\Users\Asus\AppData\Local\Google. I dopiero po tym zainstaluj przeglądarkę.

Skrypt pomyślnie wykonany. Zrób jeszcze skan przy udziale Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe (to fałszywy alarm), dostarcz log.

System jest nadal poważnie zainfekowany. Wg GMER w systemie jest rootkit (sterownik nie jest widoczny w raportach FRST): Service System32\drivers\mseg.sys (*** hidden *** ) [bOOT] ygugi Natomiast Prucutstky jest aktywny, gdyż uruchamia się jako usługa. Obecne też różne odpadki innych niepożądanych elementów i aktywne proxy. Jest i problem z Google Chrome. Adware podstawiło fałszywy profil pod nazwą ChromeDefaultData (to Twój jedyny profil w Chrome) i będzie wymagane utworzenie nowego profilu od zera. Poza tym, należy usunąć wszystkie skróty Chrome, pomimo iż teoretycznie kierują na poprawny cel - to są falsyfikaty wprowadzone przez adware, a poznać można to po substytutach Unicode w nazwach. Operacje do wdrożenia: 1. Uruchom Kaspersky TDSSKiller. Jeśli wykryje obiekt ygugi, dobierz akcję Delete. Zresetuj system po ukończeniu operacji. W root dysku C powstanie log TDSSKiller. 2. Wyeksportuj z obecnego profilu Chrome zakładki do pliku HTML, o ile jest co eksportować... Cały profil Chrome będzie usuwany w poniższym skrypcie. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 CkasotyshanuchControls; C:\Program Files (x86)\Prucutstky\shhcch.dll [315392 2016-09-21] () [brak podpisu cyfrowego] Task: {44B62471-EA74-42AA-B4DB-4D1767F260A8} - System32\Tasks\Y2Go\Y2Go\Y2Go => C:\Program Files (x86)\Y2Go\bin\Y2Go.exe FirewallRules: [{35FDB888-7D14-4772-874A-504B367FDA1F}] => (Allow) C:\Program Files (x86)\Y2Go\bin\Y2Go.exe FirewallRules: [{DBFE35CF-417D-4EE8-A39D-DA37A1A42B8D}] => (Allow) C:\Program Files (x86)\Y2Go\bin\Y2Go.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Y2Go DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveProxy: Hosts: C:\Program Files (x86)\Prucutstky C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\Users\Asus\AppData\Local\Calerdompluwise C:\Users\Asus\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Asus\AppData\Roaming\NotepadPlusPlusApp C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Windows\System32\Tasks\Y2Go Folder: C:\Windows\system32\GroupPolicy Reg: reg query "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /s Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Odtwórz ręcznie skróty Chrome w wybranych miejscach. Następnie uruchom Google Chrome. Ze względu na usunięcie profilu w poprzednim punkcie Chrome powinno zrzucić nowy fabryczny profil na dysk. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), z zaznaczonym Addition ale już bez Shortcut, oraz GMER. Dołącz też logi TDSSKiller i fixlog.txt.

FRST potwierdza, że Firefox jest teraz domyślną przeglądarką. Ten problem z wyborem Google Chrome musi pochodzić z faktu, że Redjane używa identycznej klasy ChromeHTML ustawionej po stronie użytkownika - klasa ta przebija poprawną klasę ChromeHTML prawdziwego Chrome, ale zlokalizowaną po stronie globalnej. Przechodzimy do czyszczenia rejestru z Redjane: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\WOW6432Node\Redjane DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Redjane DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.htm DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.html DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.shtml DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.webp DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.xht DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.xhtml DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\ftp DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\http DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\https DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\irc DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\mailto DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\mms DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\news DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\nntp DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\RedjaneHTM DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\sms DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\smsto DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\tel DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\urn DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\webcal DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Clients\StartMenuInternet\ChromeHTML DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ec640099_0 DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe Reg: reg delete "HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Redjane\Application\chrome.exe.FriendlyAppName" /f Reg: reg delete "HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Redjane\Application\chrome.exe.ApplicationCompany" /f Reg: reg delete "HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Redjane\Application\chrome.exe" /f Folder: C:\Users\Public\Documents\chrome DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Zresetuj ręcznie system i sprawdź czy w wyborze domyślnej przeglądarki pokazuje się poprawne Google Chrome identyfikowane ikonką.

Jak mówię, nie mam pojęcia co tu się stało. Natomiast jeśli chodzi o błąd "Nie znaleziono punktu wejścia procedury InitializeCriticalSectionEx w bibliotece KERNEL32.dll", to on wskazuje że instalator był nowszy niż może obsłużyć go XP (albo brak jakiś łat w XP, albo nieoficjalny brak kompatybilności z XP). Fix wykonany. Z obu kont ręcznie pousuwaj FRST i jego logi, następnie na dowolnym końcie zapuść DelFix i wyczyść foldery Przywracania systemu. Do wglądu lista programów zabezpieczających, ale nanieś poprawkę na aplikacje które już nie obsługują XP: KLIK.

FRST w ogóle nawet nie umie załadować rejestru, co wskazuje na naruszenie tego obszaru: UWAGA: Nie można załadować gałęzi System. Jedyne co mi przychodzi na teraz do głowy, to cofnięcie całego rejestru strony globalnej (pliki w C:\Windows\system32\config) przy udziale kopii rejestru RegBack, która jest datowana na 15 wrzesień: LastRegBack: 2016-09-15 14:53 1. W Notatniku przygotuj plik o treści: LastRegBack: 2016-09-15 14:53 Plik zapisz pod nazwą fixlist.txt na pendrive gdzie siedzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Sprawdź czy podmiana rejestru umożliwia start Windows.

1. Tymczasowo ustaw Firefox a nie Google Chrome, by przebite zostały klucze w rejestrze. Z Google Chrome tu na razie jest problem, gdyż Redjane to klon Chrome i wiele wpisów jest "podobnych" (ten sam plik wykonywalny "chrome.exe"). Po to jest wyszukiwanie w rejestrze, by usunąć wtręty Redjane, ale to musi być zrobione już po przestawieniu domyślnej przeglądarki. 2. Przy okazji, nie odinstalowałeś Safari (stara i niebezpieczna przeglądarka). Przez nieuwagę ominęłam deinstalację Java 8 Update 31. Po deinstalacjach zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Nie wiem skąd to się wzięło. Nie były tu prowadzone żadne operacje związane z tymi aplikacjami, w Fix brak powiązanych wpisów. Zauważam też minimalną różnicę między poprzednimi i obecnymi logami - wpisy ShellIconOverlayIdentifiers od ASUS Data Security Manager są obecnie wybrakowane. Nie usuwałeś aby czegoś ręcznie? Błędy powodują poniższe wpisy Run, więc zacznij od reinstalacji powiązanych programów: ASUS Splendid Video Enhancement Technology (HKLM\...\{C0FC1C14-4824-4A73-87A6-9E888C9C3102}) (Version: 1.02.16 - ASUSTeK) Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 9.0.2.0 - Synaptics) HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [815104 2006-10-15] (Synaptics, Inc.) HKLM\...\Run: [ACMON] => C:\Program Files\ASUS\Splendid\ACMON.exe [851968 2007-06-26] (ATK) A potem na koncie Czesiek byłby do wykonania drobny skrypt fixlist.txt o treści: ShellIconOverlayIdentifiers: [ADSMOverlayIcon] -> {A825576B-0042-4F0F-8FB0-93CE0F054E69} => Brak pliku ShellIconOverlayIdentifiers: [ADSMOverlayIcon1] -> {A8D448F4-0431-45AC-9F5E-E1B434AB2249} => Brak pliku Toolbar: HKU\S-1-5-21-966588509-143319652-2419219573-1007 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1007_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1007_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1007_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Documents and Settings\Czesiek\Ustawienia lokalne\Dane aplikacji\Install.exe

Podawałam: Ten punkt nie wygląda na wykonany, w logu FRST nadal Redjane jako domyślna przeglądarka: Internet Explorer Wersja 11 (Domyślna przeglądarka: "C:\Program Files (x86)\Redjane\Application\chrome.exe" "%1") Wykonaj rekonfigurację. To zmienia odczyty w rejestrze i poprzednie wyszukiwanie jest nieaktualne, więc należy po tej akcji wykonać nowy log:

Skoro BSOD się już nie powtarza, to na razie nie ma czym się zajmować. Jak mówiłam, dostarczone wcześniej pliki DMP wskazywały sterownik nVidia jako przyczynę, a sterowniki były aktualizowane właśnie w przedziale wystąpienia pierwszych problemów. Co do raportów FRST, to w momencie rozwiązywania określonego problemu nadrzędnego nie komentuję rzeczy nieistotnych z punktu widzenia tego problemu. W raportach nie ma nic ciekawego. W spoilerze usuwanie drobnych wpisów szczątkowych + zaległe wpisy z innego tematu (sztucznie dodane klucze nie istniejące domyślnie w konfiguracji SafeBoot + folder wyłączonego Administratora którego zawartość zmanipulowano).

Nic tu nie wskazuje na problem infekcji, pomijam lewe programy wyliczane poniżej które doinstalowałeś w celu "rozwiązania" problemów. Czy przed wystąpieniem objawów było coś szczególnego wykonywane (instalacja, zmiana opcji, czyszczenie rejestru, etc.)? Z raportów trudno coś wywnioskować... Jedyne co się rzuca w oczy, to błędy w Dzienniku zdarzeń typu "Zestaw kluczy nie jest zdefiniowany": System errors: ============= Error: (09/20/2016 04:52:13 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {FCC74B77-EC3E-4DD8-A80B-008A702075A9} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (09/20/2016 04:44:54 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {6028EEB8-6D2B-4D62-A101-C03407994679} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (09/20/2016 04:44:24 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa VCService zakończyła działanie; wystąpił następujący błąd: Zestaw kluczy nie jest zdefiniowany. Error: (09/20/2016 04:41:26 PM) (Source: WMPNetworkSvc) (EventID: 14325) (User: ) Description: Nie można poprawnie uruchomić usługi „WMPNetworkSvc”, ponieważ funkcja QueryService napotkała błąd „0x80070002”. W programie Windows Media Player wyłącz udostępnianie multimediów, a następnie włącz je z powrotem. Error: (09/20/2016 04:40:01 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {CB45D4CA-8A34-4EF1-9957-6134E5270E83} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (09/20/2016 04:39:52 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {06622D85-6856-4460-8DE1-A81921B41C4B} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (09/20/2016 04:39:46 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {CB45D4CA-8A34-4EF1-9957-6134E5270E83} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (09/20/2016 04:39:29 PM) (Source: WMPNetworkSvc) (EventID: 14325) (User: ) Description: Nie można poprawnie uruchomić usługi „WMPNetworkSvc”, ponieważ funkcja QueryService napotkała błąd „0x80070002”. W programie Windows Media Player wyłącz udostępnianie multimediów, a następnie włącz je z powrotem. Error: (09/20/2016 04:39:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa VAIO Event Service zakończyła działanie; wystąpił następujący błąd: Zestaw kluczy nie jest zdefiniowany. Error: (09/20/2016 04:39:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Skype Updater zakończyła działanie; wystąpił następujący błąd: Zestaw kluczy nie jest zdefiniowany. Nic mi to nie mówi. Pytaniem jest czy problemy występują w Trybie awaryjnym? - SpyHunter to program-naciągacz, którego cel to właśnie skłonienie do zakupu pełnej wersji. Użycie wersji crackowanej nie zmienia stanu rzeczy. I jeszcze mógł zaszkodzić, są znane przypadki wdrażania przez niego błędnych procedur, prowadzących nawet do niestartującego Windows. Jest tu nie do ustalenia co zrobił w systemie i czy wyniki były prawdziwe. Należy się go pozbyć. Jak sądzę, deinstalacja w normalny sposób niemożliwa (w Dzienniku zdarzeń błędy DCOM związane z appwiz.cpl). Skorzystaj więc ze SpyHunterCleaner. - Kolejny gagatek to WinThruster, który notabene jest flagowany przez FRST jako niepożądany, usuwa go też ... AdwCleaner.

Komunikat "Wykryto atak z preparowaniem pakietów dla pamięci podręcznej ARP" nie świadczy o niczym szczególnym. Do wglądu artykuł ESET: ARP, ICMP or DNS Cache Poisoning Attack in ESET home products for Windows

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To wszystko.

Log z FRST usuwam (zbędny i to nie jest log z producedury którą zadałam). Proszę ponów próbę - opcja Napraw a nie Skanuj.

Jak to nie wykrył zagrożeń? W logu dużo szczątków adware (sekcja Potential Unwanted Programs), także Cookies oraz kopie FRST (to się nie liczy). Wszystko usuń za pomocą programu, w tym kopie FRST bo są zbędne. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix pomyślnie wykonany. Jeszcze na wszelki wypadek zrób skan w Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe (to fałszywy alarm), przedstaw raport. Popatrz na listę programów tutaj: KLIK. Przykładowo z darmowych programów blokujących instalacje adware/PUP to Unchecky, z komercyjnych pełna wersja MBAM czy Emsisoft. Antywirusy jako takie słabo adresują temat zagrożeń adware/PUP.

Wszystko pomyślnie wykonane. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\WINDOWS\system32\Drivers\RegDeleteEx.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

W systemie działa fałszywy klon Chrome (pod nazwą Redjane) z wbudowanym adware. Przeglądarka ustawiła się jako domyślna. Przy okazji będą usuwane odpadkowe wpisy po aktualizacji Windows 7 do Windows 10 i inne szczątki. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 22 NPAPI, Adobe Flash Player 22 PPAPI, Bonjour, Driver Cleaner 3, QuickTime 7, Safari, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (obie wersje Visual to pozostałości po AVG). Archaiczny Driver Cleaner 3 nie nadaje się do czyszczenia nowych systemów! 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Edge HomeButtonPage: HKU\S-1-5-21-978019282-1476024836-731519584-1000 -> hxxp://www.mylucky123.com/?type=hp&ts=1474269048&z=a09746c7fce9d60f7a6dc9fg8zdmbz8o9qft3efc8o&from=wpm0616&uid=KINGSTONXSV300S37A120G_50026B7243020B50 IE Session Restore: HKU\S-1-5-21-978019282-1476024836-731519584-1000 -> [funkcja włączona] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-978019282-1476024836-731519584-1000\Software\Microsoft\Internet Explorer\Main,Start Page = BHO-x32: Brak nazwy -> {451C804F-C205-4F03-B48E-537EC94937BF} -> Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] FF SearchPlugin: C:\Users\Tom\AppData\Roaming\Mozilla\Firefox\Profiles\420ri4xj.default\searchplugins\mylucky123.xml [2016-09-19] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [WSVCU@Wondershare.com] - C:\ProgramData\Wondershare\Video Converter Ultimate\WSVCU@Wondershare.com_xpi => nie znaleziono HKU\S-1-5-21-978019282-1476024836-731519584-1000\...\StartupApproved\Run: => "CCleaner Monitoring" Winlogon\Notify\igfxcui: igfxdev.dll [X] S1 epp; \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\epp.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {084AF03E-2203-4351-AD9B-C34F0A6FAC99} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {11A26448-F69D-4327-A88A-7A0E4D003DBA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {19EC22CB-C77C-4E00-B517-32F428EEE7FA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {23CB528A-A95A-40EC-8F33-FD6F2EB92BAD} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {256F7707-786F-4781-A772-419E96F19273} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {27346C8E-DAA2-40BE-8EDA-1783BBEDC6E9} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {291AD335-EFEF-418D-9BA1-1219D4EC9756} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {2BF3327C-51B9-4F39-A002-98DF26BAF0FE} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {32A9FAC5-5157-4E74-869E-1F98752B1A02} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {34AB52D4-FC9D-486E-9DF7-D4BA71D23CA6} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {3B76A5A3-4585-474D-8179-57401FC83087} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3E7C9BEA-1A66-4113-B3D3-B92F2861088D} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {3F429424-2283-4E0E-98AF-32A0240ACCAD} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {45C49177-0961-4B18-ABA7-2CBF065E69D0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {4FFE269F-488C-4E1D-9F9D-87299A338D00} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {52760BF6-2D0B-4D46-B5D1-04861247A425} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {55F6AA25-BE92-4C90-84E6-61F886F2A5CE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {5688BD57-89A5-470D-AFC0-4DCA0F1CB406} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {56A9EDA3-824E-4448-9C54-9CFDF76490F3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5D8EA6F9-51C8-4C13-AC5C-A5B86768A590} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {5E0C581B-CB57-4E02-9505-4E30EC5F5636} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {65768EED-4632-481B-B3AA-E1544BC59495} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {701B9286-B085-42AC-BCE9-52B7A2FFD205} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {73F00040-E07C-4DBC-BDB2-0A1D871C34C5} - System32\Tasks\{0276DAFE-B685-48B2-9A3A-99485BB8A92D} => pcalua.exe -a "C:\Program Files (x86)\ImTOO\iTransfer Platinum\Uninstall.exe" Task: {801660E4-939E-4EFA-B243-F89E7E7891DD} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {825C4EDE-744D-4580-9A37-C2AD0B145C13} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {85CF6B71-E070-4054-91C6-3163AC51A1A6} - System32\Tasks\RedjaneUpdateTaskMachineUA => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe Task: {A2AC961C-A250-4536-8946-C9460749E79C} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {A835C9C1-E81A-408C-98A5-07021BDC523C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {A8F11448-B307-468B-ACAA-8C1951D5EA4D} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {B7D949A8-6816-43CA-99EC-FC5E48C78709} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {B9262193-D09D-4801-AF98-B5DD221594F5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B971968B-B49A-4D27-B365-CCF9359B9DFC} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {BB7A2D39-FC51-4DFC-B3BF-008C38D8C1B0} - System32\Tasks\{CA87736E-D881-44C0-B90E-8606C9865166} => pcalua.exe -a "D:\itb dokumenty\system\pagedefrag\pagedfrg.exe" -d "D:\itb dokumenty\system\pagedefrag" Task: {C80FB711-E580-4298-971E-C41CBF4923D4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {CAFC199F-6763-4F72-AE6D-1946DB76CB2A} - System32\Tasks\RedjaneUpdateTaskMachineCore => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe Task: {EDBDBB58-E789-4D9B-8C32-5DF6EAADB843} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {EF367365-3BDA-499A-91B5-AA4DB38CF9D4} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {FCCCF7F1-D190-4B33-B5A7-DD0ED25E1E73} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {FE555014-28CA-40B8-9CDC-C6E323758C08} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f C:\Program Files (x86)\Redjane C:\ProgramData\mzemgkrx.fuc C:\ProgramData\corss C:\ProgramData\Emsisoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk C:\Users\Tom\AppData\Local\Redjane C:\Users\Tom\AppData\LocalLow\DefaultCompany C:\Users\Tom\AppData\Roaming\DVDVideoSoft C:\Users\Tom\AppData\Roaming\Eusing C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft Beta C:\Users\Tom\Documents\Corel\Próbki CorelDRAW X7\target.lnk C:\Users\Tom\Downloads\6338.tmp C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\data.bin CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ustaw wybraną przeglądarkę jako domyślną, by zlikwidować skojarzenia z Redjane. 4. Zrób nowe logi FRST: - Standardowy z opcji Skanuj (Scan), z zaznaczonym polem Addition ale już bez Shortcut. - Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Redjane;chrome.exe Dołącz też plik fixlog.txt.

Wszystko zrobione. Drobne poprawki: 1. Ponów skan AdwCleaner, by się upewnić że nic nie wykrywa. 2. Otwórz Notatnik i wklej w nim: S2 mfeicfcoreocp; C:\Program Files\McAfeeEx\MOCP\core\mfeicfcore.exe [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EF79C448-6946-4D71-8134-03407888C054} RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Piotr Chmielewski\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 RemoveDirectory: C:\Users\Piotr Chmielewski\AppData\Local\Google\Chrome\User Data\System Profile Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Czyli wszystko OK. W procesach (już były sprawdzane w logach FRST) nic podejrzanego. W instrukcji było napisane, by zmienić nazwę raportu Hitman z *.log na *.txt, by wszedł w załączniki. Prawie nic nie wykrył, kopie FRST w Tymczasowych plikach internetowych (to fałszywy alarm) oraz jeden drobny śmieć w rejestrze. Wszystko usuń za pomocą programu. Hitman jako taki możesz usunąć z dysku lub zostawić na przyszłość do ewentualnych skanów na żądanie. Do wglądu ogólna lista oprogramowania: KLIK. Wygląda na to, że skończyliśmy. Skasuj też z dysku plik raportu C:\delfix.txt.

Co konkretnie masz na myśli? Na czym polega niedziałanie Chrome? A w skrypcie FRST były usuwane zmanipulowane przez infekcję skróty Chrome i IE. Czy Ty aby nie mylisz zaniku skrótów z zanikiem całej przeglądarki IE? Przeglądarka jest w systemie (wykryta w nagłówku FRST). Te skróty i tak mają podrzędne znaczenie, bo na Windows 10 IE jest właśnie domyślnie "schowany", główną przeglądarką jest Edge a nie IE. MPC Cleaner nie usunął się. Musimy go załatwić z poziomu środowiska zewnętrznego RE. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X] R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-09-06] (DotC United Inc) C:\Program Files (x86)\MPC Cleaner C:\WINDOWS\system32\Drivers\MPCKpt.sys Plik zapisz pod nazwą fixlist.txt. Plik ten razem z FRST64.exe umieść na pendrive. 2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. W FRST klik w Napraw (Fix). Na pendrive powstanie plik fixlog.txt. 3. Zaloguj się z powrotem do Windows i zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. 1. W skanie FRST nie został wykryty profil Opery, prawdopodobnie dlatego że masz przekierowane niektóre ścieżki na inne dyski. Czy w Operze nie ma nic podejrzanego w ustawieniach i zainstalowanych rozszerzeniach? 2. Zastosuj DelFix, w celu usunięcia FRST i AdwCleaner. 3. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli coś wykryje, przedstaw wynikowy log.

Kolejne poprawki: 1. Zawartość Registry.pol pobrana w Fixlog wskazuje, że są nadal aktywne polityki blokujące wykluczenia Windows Defender. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions C:\WINDOWS\system32\GroupPolicy\gpt.ini C:\WINDOWS\system32\GroupPolicy\Adm C:\WINDOWS\system32\GroupPolicy\Machine C:\WINDOWS\system32\GroupPolicy\User Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić automatyczny restart. Jeśli jednak nie, wymuś go ręcznie (konieczne, by wdrożyć reset GPO). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner ponownie, tym razem dobierz sekwencję opcji Skanuj + Oczyść. Przedstaw wynikowy log zczyszczenia.