picasso

W systemie liczne infekcje, nie tylko UCGuard, także infekcja WMI infekująca skróty oraz zainfekowane Chrome (fałszywy profil user0 - na dysku ChromeDefaultData2). Działania do przeprowadzenia: 1. Na początek deinstalacje starych wersji i zbędnych aplikacji poprzez klawisz z flagą Windows + X > Programy i funkcje: Adobe Flash Player 15 Plugin, Badanie mające na celu poprawę produktów HP Deskjet 3540 series, Bonjour, HP Customer Participation Program 14.0, Java 7 Update 45, Java 7 Update 9 (64-bit), McAfee Parental Controls, McAfee Security Scan Plus, McAfee WebAdvisor, Secure Download Manager, Shared C Run-time for x64. 2. Zaktualizuj FRST, jest już nowsza wersja. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA R2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [280576 2016-09-05] () [Brak podpisu cyfrowego] R2 MeneghtNodifier; C:\Program Files (x86)\Lopchchatught\stofigegrinespCloud.dll [297984 2016-09-16] () [Brak podpisu cyfrowego] S2 DecacultSystem; C:\Program Files (x86)\Sherbaly\BpsCloud.dll [X] NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {01A14B24-F120-41CA-B7A0-CC27C3DB6613} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {0968DE7E-E94F-4138-9D1D-4A6FF091340F} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA Task: {1967334D-D2D0-432D-8E5F-D17EB13F8548} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA Task: {1C4E1A54-FE3C-4683-9E5A-C2E6D61662CA} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {277FE09A-EB2B-4FA8-8846-1B658F2BA66F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {5452B4A0-538A-44CD-8E9B-72C595BD9511} - \CCleanerSkipUAC -> Brak pliku <==== UWAGA Task: {5512A6BE-C150-44AC-8ED0-472B497F27C8} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA Task: {62C68AA6-2DFC-4D73-BE4F-F12467A75D83} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {6CE51701-C90F-49AC-ABFD-CDE9248E7636} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA Task: {879CC183-9379-4D67-8FF9-51243ED2A59B} - \Desk 365 RunAsStdUser -> Brak pliku <==== UWAGA Task: {908BEF62-ED7D-475D-89CB-AE349A9EDE44} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {91CA4E88-9DA3-41B1-A59E-7151F60B12D2} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {A1FA585C-E739-41C6-B61B-56D251B6C847} - System32\Tasks\Pholdom Center => C:\Program Files (x86)\Mzityatupile\kivaty.exe [2016-09-16] (Kunshan Aunbox software co.,Ltd) Task: {AAEDF554-139A-4F61-A71C-E7362BC60DC8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {B01E74A3-318B-4946-879F-6114A7CF011A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {B1CB2E76-2B1D-46AA-9D71-62ABFA317E4A} - System32\Tasks\Decacult System => C:\Program Files (x86)\Sherbaly\clebaly.exe Task: {B363F06A-EBFE-42AC-BD25-9CC618FAB438} - System32\Tasks\Meneght Nodifier => C:\Program Files (x86)\Lopchchatught\arevly.exe [2016-09-16] (CHENGDU YIWO Tech Development Co., Ltd) Task: {B77A6898-7462-480E-9C79-EA1985D21B3F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {BAED9D64-73CF-405F-9B32-1B801B9E9E42} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {D1312E44-82F6-4346-9951-6940B62D30C5} - System32\Tasks\Sony Corporation\VAIO Care\UpdateContacts => C:\ProgramData\Sony Corporation\VAIO Care\UpdateContacts.exe Task: {E19F7C4C-3EAD-4C18-B10D-E2B67D99675E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {EF0C2853-286B-4AA6-9872-DAB87B70F37B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {F98E4113-5B15-47E0-82C7-6FFA0CEEE3E5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {FC451B58-0448-485B-8DD8-1DB4FD353E0F} - System32\Tasks\{73A0484E-0076-4985-A4B3-92478C3D29FA} => pcalua.exe -a D:\autorun.exe -d D:\ Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-09-16] () HKLM\...\Run: [BtvStack] => "C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe" HKLM\...\Run: [BtTray] => "C:\Program Files (x86)\Bluetooth Suite\BtTray.exe" HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [sun21] => [X] HKLM-x32\...\Run: [win_en_77] => [X] HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Run: [] => 0 HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Run: [OZIDFASLW3] => "C:\Program Files (x86)\DPower\POFDRUJ3WS.exe" HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Policies\Explorer: [] HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\StartupApproved\Run: => "Spotify" WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA ShortcutWithArgument: C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\PIOTRC~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\PIOTRC~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\PIOTRC~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc GroupPolicy: Ograniczenia - Chrome <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-2351160239-3609625897-3084254237-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.coldsearch.com/?uid=807f9e37-daae-4542-b490-1e01b500b667 FirewallRules: [TCP Query User{B2F6FFB8-AB39-468F-AA6F-A2FB5D56F9A5}C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe] => (Block) C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe FirewallRules: [UDP Query User{E133170E-7300-4977-82C6-7D3593C50C2A}C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe] => (Block) C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe FirewallRules: [{156C7830-4177-49B9-BE18-3940AA052C34}] => (Allow) C:\Users\Piotr Chmielewski\AppData\Local\Temp\is-L3MRF.tmp\download\MiniThunderPlatform.exe FirewallRules: [{F36B2E05-77F9-49B6-9ACB-5C9253B34AA7}] => (Allow) C:\Users\Piotr Chmielewski\AppData\Local\Temp\00002844\inst_buychannel_37.exe FirewallRules: [{19583E26-C47D-4848-A033-DF1F0828A457}] => (Allow) C:\Users\Piotr Chmielewski\AppData\Local\Temp\00002844\inst_buychannel_37.exe FirewallRules: [{DFC54A4F-9636-4840-AFB4-54F9353529A8}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{73A686A1-DB95-4E5A-8E47-A1EF4A7D7F4A}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{60993930-37A3-4E95-B25D-4C0660E767AE}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{2E434BA0-6A5C-4778-A6DE-0FF5698255E6}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{E4E6F595-8207-4AF3-877A-AC2314A3CA98}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{14C5200E-3AE9-447A-ADF2-63B962754D94}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\żěŃą C:\Program Files (x86)\evmtjez4 C:\Program Files (x86)\Lopchchatught C:\Program Files (x86)\Mzityatupile C:\Program Files (x86)\Pleqok C:\Program Files (x86)\sbqh C:\Program Files (x86)\Sherbaly C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\Common Files\Apps C:\ProgramData\AVAST Software C:\ProgramData\AVG C:\ProgramData\Avira C:\ProgramData\cosun C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Users\Piotr Chmielewski\AppData\Local\Ckulalypezok C:\Users\Piotr Chmielewski\AppData\Local\Clervagh C:\Users\Piotr Chmielewski\AppData\Local\Pakaphshuzosh C:\Users\Piotr Chmielewski\AppData\Local\Plvirygasuied C:\Users\Piotr Chmielewski\AppData\Local\UCBrowser C:\Users\Piotr Chmielewski\AppData\Roaming\Kuaizip C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\user0 - Chrome.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Piotr Chmielewski\Downloads\*.crdownload C:\Users\Piotr Chmielewski\Desktop\Continue VLC media player installation.lnk C:\Users\Public\Thunder Network C:\WINDOWS\Joberphlusisp C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\SSL CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows * (konieczny, by ubić UCGuard). Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybierz Tryb awaryjny. 3. Wyczyść Google Chrome. Jak mówiłam, jest wstawiony sztuczny profil o atypowej nazwie. Należy założyć całkiem nowy profil w Ustawienia > karta Ustawienia > Osoby > Dodaj nową osobę. Po utworzeniu nowego profilu otwórz Chrome z nim, okna poprzedniego zamknij, a w/w opcjach skasuj poprzedni profil user0. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Prawie wszystko zrobione, z wyjątkiem: Zanim przejdę dalej: Te pliki się odtworzyły, więc na początek ustalmy czy widzisz problem z aktywacją systemu (błąd o nielegalnym Windows).

Tak, ja wiem że to jest ogólny adres player.pl, mi chodzi o dokładny przykładowy link video z player.pl. Mam jednak limitowane możliwości weryfikacji, mieszkam w Holandii i muszę kombinować z VPN/proxy, by video się otwierało.

Użyłeś potwornie stary FRST, pozbawiony masy nowych skanów i poprawek: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 06-10-2014 01 (ATTENTION: ====> FRST version is 712 days old and could be outdated) Od tego czasu to chyba z kilkaset aktualizacji było... Twoja wersja nie zaktualizuje się też automatycznie (ziana adresów). Najnowszy FRST jest sprzed dwóch dni. Pobierz tę wersję z przyklejonego: FRSTKLIK. Zrób nowe raporty (wszystkie trzy).

Zapomniałaś dołączyć plik Fixlog.txt z wynikami usuwania. Nie uruchamiaj skryptu ponownie, chodzi o plik który już jest na dysku w folderze z którego uruchomiłaś FRST. Podaj przykładowe linki do stron, które nie działają w Chrome.

DelFix wykonał robotę. Usuń plik C:\delfix.txt. Zapomniałam wcześniej powiedzieć, że do usunięcia także z Pulpitu folder GP + plik Upload.zip, a z folderu Pobrane GMER. Temat rozwiązany. Zamykam.

Wszystko zrobione. AdwCleaner używałeś już wcześniej, czyli możemy kończyć: 1. Zastosuj DelFix, wyczyść foldery Przywracania systemu, a także zaktualizuj Internet Explorer do wersji IE11. Wszystkie operacje rozpisane tutaj: KLIK. 2. Materiał edukacyjny na co uważać, bo adware nabyłeś podczas pobierania jakiegoś "downloadera": KLIK. To wszystko.

Jeden wpis śmiecia znaleziony. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-410550195-1196533998-280330643-1000\Software\jcfppn.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy plik fixlog.txt.

Tu jeszcze nie koniec działań. W pliku Registry.pol były też odniesienia do innych obiektów adware. Poproszę dla pewności o wyszukiwanie w rejestrze: Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. jcfppn

Wszystko jasne. Są polityki Chrome, tylko FRST ich nie wykrył. W pliku C:\Windows\system32\GroupPolicy\User\registry.pol jest konfiguracja adware. Należy zresetować polityki: 1. Otwórz Notatnik i wklej w nim: C:\Windows\system32\GroupPolicy\Machine C:\Windows\system32\GroupPolicy\User C:\Windows\system32\GroupPolicy\GPT.INI C:\Windows\SysWOW64\GroupPolicy\GPT.INI Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić automatyczny restart Windows, ale jeśli to się nie stanie, wykonaj restart ręcznie. Przedstaw wynikowy plik fixlog.txt. 2. Problem w Chrome powinien zostać rozwiązany. Wejdź do opcji i sprawdź czy domyślna wyszukiwarka uległa resetowi. Jeśli nie, teraz nie powinno być problemu z wykonaniem poprzednio podanej akcji ręcznej.

Czyli po najechaniu myszką (a nie z kliku) na to pierwsze poprawne Google nie pokazuje się opcja "Ustaw jako domyślną"? Poproszę o dane do ręcznej analizy. Otwórz Notatnik i wklej w nim: CMD: md C:\Users\Milosz\Desktop\GP CMD: xcopy /e C:\Windows\system32\GroupPolicy C:\Users\Milosz\Desktop\GP Zip: C:\Users\Milosz\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences;C:\Users\Milosz\AppData\Local\Google\Chrome\User Data\Web Data;C:\Users\Milosz\Desktop\GP;C:\Windows\SysWOW64\GroupPolicy Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Na Pulpicie powstanie plik Upload.zip. Shostuj go na jakimś zewnętrznym serwisie i podaj link do paczki.

Ale przecież mówiłam, że najpierw musisz ustawić normalną wyszukiwarkę Google jako domyślną (czyli tę pierwszą pozycję) i dopiero po tym będzie można skasować to "Custom search". To normalne, że Chrome nie pozwala usunąć domyślnej wyszukiwarki. Druga sprawa, gdzie widzisz napis "o tym ustawieniu decyduje administrator"? Ja tego nie widzę na podanym zrzucie ekranu...

Jeśli chodzi o "Custom search", po prostu spróbuj tego: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną normalną wyszukiwarkę Google, następnie skasuj z listy wszystkie inne pozycje.

Spróbuj po prostu zresetować router poprzez przycisk zasilania.

Skoro ustawienia są OK, to czy nie jest to po prostu stara "historia"?

Pokaż na obrazku gdzie to widzisz. Wszystko wykonane i nie widać już żadnych szkodników. Drobna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\AdwCleaner Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

To nie jest dobry pomysł. Zapomniałam napisać, ta łata KB3172605 wymaga by przed nią zainstalować KB3020369. Jeśli to nic nie wniesie do sprawy (lub łatę tę już posiadasz), to: Spróbuj w Panelu sterowania w konfiguracji Windows Update zaznaczyć opcję "Nie wyszukuj aktualizacji" + restart systemu. Po restarcie podejmij się próby ręcznej instalacji łaty. Gdy to się uda, przywróć wyszukiwanie aktualizacji, zainstaluj wszystko co znalezione. - Tak. - To jest komponent HitmanPro.Alert, a nie standardowego skanera HitmanPro, na liście zainstalowanych brak tej aplikacji. Tylko dwa klucze zostały. Jeśli jest problem z ich usunięciem, możesz zastosować skrypt fixlist.txt o treści: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\eventlog\Kaspersky Event Log DeleteKey: HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\AppId_Catalog\122F9800-20668A9F

GMER nic nowego nie wnosi do sprawy. Podane wcześniej instrukcje nadal aktualne.

Podana łata KB3102810 stara (z 2015), tu raczej należy sprawdzić czy jest KB3172605:

Zadania nie usunęły się, choć są obecnie martwe. Zrób nowy skrypt fixlist.txt do FRST o następującej treści: Task: {2AB6CBD3-6F5D-428A-8D2B-36804562C06C} - System32\Tasks\{F6DB9864-A15B-45A5-970B-B702F9D74B30} => D:\Program Files (x86)\Steam\SteamApps\common\Mashed\launch.exe Task: {A5C8B19E-F098-4CE7-B62E-70D5601F83C0} - System32\Tasks\{35CC3810-D684-4CCF-BB9F-72F867C178CF} => D:\Program Files (x86)\Steam\SteamApps\common\Mashed\MASHED.exe Przetestuj czy tymczasowe wyłączenie usługi (włącznie z zakończeniem procesu) obniża obciążenie zasobów. Jeśli wyjdzie na jaw, że to WU, to raczej tu nic nie da się zrobić. Czy masz zainstalowane wszystkie aktualizacje? Na wszelki wypadek zacytuję jeszcze z innego tematu:

Naprawa błyskawiczna, gdyż tylko drobne rzeczy były do przetworzenia. Podany skrypt uruchomiłeś niepotrzebnie aż dwa razy (w logu odczyt Run:3), skrypt jest jednorazowego użytku i nie przetworzy ponownie tego samego. Wszystko wygląda na wykonane, AdwCleaner był już wcześniej uruchamiany, więc nie sądzę by teraz coś wykrył. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Proszę umieszczaj raporty FRST w postaci osobnych załączników TXT, nie pakuj logów do ZIP/RAR, to utrudnia mi analizę. Logi przeniosłam do załączników. GMER na razie opuść. W systemie są aktywne obiekty adware (wpisy "Plesege") oraz jest ustawione dziwne proxy kierujące na "Google" (ale tu nie wykluczam, że to wynik Twoich nieudolnych prób naprawy, przypuszczalnie tam był inny adres niż Google). Działania do przeprowadzenia: 1. Odinstaluj stare wersje (zagrożenie infekcjami szyfrującymi dane) Adobe Flash Player 20 ActiveX, Adobe Flash Player 21 NPAPI oraz dziwną aplikację NotepadPlusPlusApp. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 SherdewardcoosentConfiguration; C:\Program Files (x86)\Plesege\Ckaletionbuilder.dll [297472 2016-09-17] () [brak podpisu cyfrowego] Task: {CF874292-B528-429C-BA23-51D8A8987252} - System32\Tasks\Sherdewardcoosent Configuration => C:\Program Files (x86)\Plesege\herutain.exe [2016-09-17] (CHENGDU YIWO Tech Development Co., Ltd) CustomCLSID: HKU\S-1-5-21-410550195-1196533998-280330643-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\recovery.dll => Brak pliku FirewallRules: [{12B87416-B8B2-483F-8D08-FF7AD9D9DBF9}] => (Allow) C:\Program Files (x86)\Common Files\Tencent\QQDownload\119\Tencentdl.exe FirewallRules: [{EE324EE0-399B-4FF1-98D0-EAC1D9C392A3}] => (Allow) C:\Program Files (x86)\Common Files\Tencent\QQDownload\119\Tencentdl.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com HKU\S-1-5-21-410550195-1196533998-280330643-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKU\S-1-5-21-410550195-1196533998-280330643-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com SearchScopes: HKLM -> DefaultScope - brak wartości DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\NotepadPlusPlusApp DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{48ABBDFD-CF3A-4084-8413-00FFAB22E561} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\GridinSoft Anti-Malware C:\Program Files\Plumbytes Software C:\Program Files (x86)\g4udis99 C:\Program Files (x86)\t469aix6 C:\Program Files (x86)\Plesege C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\jcfppn C:\ProgramData\GridinSoft C:\ProgramData\Mozilla C:\Users\Milosz\AppData\Local\{23371A81-D2B0-45BB-AE7E-11AB62B46B72} C:\Users\Milosz\AppData\Local\Medosh C:\Users\Milosz\AppData\Local\Mozilla C:\Users\Milosz\AppData\Roaming\Mozilla C:\Users\Milosz\AppData\Roaming\NotepadPlusPlusApp C:\Windows\Joberphlusisp RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Temat przenoszę do działu Windows. Brak oznak infekcji. vs. Czy problem z Windows Defender nadal występuje? Obecność "COM Surrogate" nie świadczy o niczym: KLIK. I u Ciebie na pewno nie ma infekcji odpalającej szkodliwą instancję dllhost. PS. W spoilerze skrypt kosmetyczny usuwający puste wpisy (głównie po aktualizacji z Windows 7 do Windows 10).

1. Ostał się po deinstalacji tylko jeden obiekt w usługach. Otwórz Notatnik i wklej w nim: U2 Thorn; no ImagePath Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). A elementy gry w katalogach Dokumenty i Pobrane dokasuj ręcznie. 2. Przez SHIFF+DEL (omija Kosz) skasuj FRST i jego logi z folderu C:\Users\boogie\Desktop\antivir\skanery na forum. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Wejdź ponownie do ustawień DHCP i sprawdź czy infekcja nie wróciła w ustawieniach DNS... Poza tym, zapomniałam podkreślić, że dane logowania do routera też należy zmienić, w przeciwnym wypadku przy domyślnym loginie infekcja po prostu będzie wracać. Wykonałeś to?