picasso

Brak opisu problemu, jaka była infekcja (gdzie wykyta), czym czyszczona i jaki jest obecnie stan systemu (czy wszystko w porządku). Był też używany DelFix i poprzednie dane (o ile były), zostały usunięte. W dostarczonych logach nie widać oznak aktywnej infekcji. Do czyszczenia tylko szczątkowe wpisy. 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 22 NPAPI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 HPSLPSVC; C:\Users\MARCIN~1\AppData\Local\Temp\7zS44C6\hpslpsvc64.dll [X] U4 DiagTrack; Brak ImagePath HKLM\...\StartupApproved\Run: => "ETDCtrl" HKLM\...\StartupApproved\Run: => "BtServer" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1046488821-2392662828-2514841194-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-1046488821-2392662828-2514841194-1001 -> {A359A327-2ECE-4F31-9AEA-31ACBDC86F2F} URL = CHR DefaultSearchURL: Default -> hxxp://pandasecurity.mystart.com/results.php?searchsource=omnibar&pr=vmn&id=pandasecuritytb&v=2_3&ent=ds_671&q={searchTerms} CHR DefaultSearchKeyword: Default -> yahoo CHR HKLM-x32\...\Chrome\Extension: [fdhbkaahephniejapepaiggngjnedpci] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes FirewallRules: [{E367B26A-36A6-4282-875E-685DA6FE049C}] => (Block) C:\windows\system32\svchost.exe AlternateDataStreams: C:\WINDOWS\splwow64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\appidapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\appidsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\AppxAllUserStore.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DevicePairing.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\dnsapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\dnsrslvr.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\eventcls.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\InkEd.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\kmddsp.tsp:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\MDMAgent.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\MFMediaEngine.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mfplat.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\msxml6.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\profsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\QSHVHOST.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\QSVRMGMT.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasapi32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rascfg.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasdiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasmxs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasser.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\schedsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\schtasks.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SkyDrive.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SkyDriveTelemetry.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\spoolsv.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SyncEngine.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SystemSettings.Handlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\taskeng.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\tzsync.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\untfs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\vpnike.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\vssapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\vsstrace.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Immersive.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\system32\WinSCard.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\WSDApi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\WSDMon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\appidapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\AppxAllUserStore.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\DevicePairing.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\dnsapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\eventcls.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\InkEd.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\kmddsp.tsp:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\MFMediaEngine.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mfplat.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\msxml6.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\QSHVHOST.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\QSVRMGMT.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasapi32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rascfg.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasdiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasmxs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasser.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\schtasks.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\taskeng.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\untfs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\vssapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\vsstrace.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Immersive.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\WinSCard.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\WSDApi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\agilevpn.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthenum.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthport.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\BTHUSB.SYS:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\dam.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\intelpep.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\ndistapi.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\ndproxy.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\pdc.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\wanarp.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\wfplwfs.sys:$CmdTcID [64] C:\Users\marcin danielewicz\AppData\Roaming\wpulog.txt C:\WINDOWS\system32\Drivers\etc\hosts.ccebak C:\WINDOWS\system32\Drivers\etc\HOSTS_2016-09-03.BAK Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są już potrzebne.

Tak, bo w rejestrze nadal jest odpadkowy klucz SPTD. W GMER wykryty, gdyż ograniczają go uprawnienia. S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] To co wykrył Kaspersky (głównie Bitcoin Miner) nie było w ogóle widoczne w pierwszym zestawie logów. W najnowszym zestawie także brak aktywnych śladów. Przy okazji, ten Kaspersky jest mocno stary... Do wykonania tylko poboczne i kosmetyczne działania: 1. Przez Panel sterowania odinstaluj stare wersje (luki w Adobe i Java to zagrożenie infekcjami szyfrującymi dane!): Adobe Flash Player 15 Plugin, Adobe Reader 8 - Polish, Adobe Reader 8.1.2 Security Update 1 (KB403742), Apple Software Update, HijackThis 2.0.2, Java 7 Update 67, Java™ 6 Update 3, Java™ 6 Update 7, Skype™ 4.2, TVUPlayer 2.5.3.1 (już nawet nie działa), Veetle TV, Windows Media Player Firefox Plugin. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2057D85A-3DA4-476C-B58C-00C8359B59A7} - System32\Tasks\At3 => Task: {34F5D7C0-9708-46B8-9F10-A14929C3E138} - System32\Tasks\{C5D14A2C-1B02-49EC-9D85-16217605702E} => pcalua.exe -a E:\NOKIA\NOKIAP~1\CONNEC~1.CPL -c Connection Manager_ Task: {44509AF4-4FF1-4F1B-9C48-D77142BE12BB} - System32\Tasks\{52057DEA-46EC-4136-B0A6-66EE38DCD6E5} => pcalua.exe -a E:\Lionheart_1.1_English.exe -d E:\ Task: {50C084BC-E640-44AA-99F7-1AA8BE466C79} - System32\Tasks\{8A878150-2C39-4F17-A3E7-C62D7A247A12} => pcalua.exe -a E:\INSTAL\ipchanger.exe -d E:\INSTAL Task: {6776A0D7-792C-4F97-A5FC-FAB1372997DD} - \Microsoft System Certificates -> Brak pliku Task: {9C63EF12-F8E8-4D72-8637-FB9F6893AEB2} - System32\Tasks\{F5BEFD9C-7441-459C-B764-3179C657F0BC} => pcalua.exe -a "C:\Users\Tomek\Desktop\Super.Meat.Boy.v1.0u11-THETA\Super Meat Boy.exe" -d C:\Users\Tomek\Desktop\Super.Meat.Boy.v1.0u11-THETA Task: {BA392CC4-EFB7-46C2-8FB3-8E1F064E7AA7} - System32\Tasks\{C3DCAF8A-6A0A-4473-A2AE-A04207FF6DBB} => pcalua.exe -a E:\mp3gain-win-1_2_5.exe -d E:\ Task: {D6C1675D-AD81-4760-ADC8-FEDCE5DAE921} - System32\Tasks\At2 => Task: {F60DB9CE-F861-4126-BC1C-CE4779DA650A} - System32\Tasks\{1EACCAF6-9F5D-488D-B1E5-E36853734878} => pcalua.exe -a D:\install.exe -d D:\ Task: {FF38C350-4581-4047-8E19-B14F8F0C7AA6} - System32\Tasks\{32FC63E1-3960-4B95-B3B2-987EE08A2E2A} => pcalua.exe -a C:\Users\Tomek\Desktop\extreme_racing.exe -d C:\Users\Tomek\Desktop S3 dbx; system32\DRIVERS\dbx.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 igfx; system32\DRIVERS\igdkmd32.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] HKU\S-1-5-21-4123528221-3322637753-725415342-1000\Software\Classes\exefile: "%1" %* HKU\S-1-5-21-4123528221-3322637753-725415342-1000\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-4123528221-3322637753-725415342-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4123528221-3322637753-725415342-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} hxxp://slimak.onet.pl/_m/wirusy/ArcaOnline.cab DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions\dchlnpcodkpfdpacogkljefecpegganj DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Program Files\DAEMON Tools Lite C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{21C35C68-A6C5-4A75-8FFD-DB503CE6F67B} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crux Calculator v5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Lunch Design C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{00C44CB0-9EFF-4523-976B-2D6DA0491CDF} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{0A6F52B1-C620-406E-8AAF-B8A727A6B69A} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1266712E-904A-44E5-92A9-E5AAC1C2DFC6} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1623D15E-4905-4ADE-88C7-5DFBB720A117} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1A758F16-79C7-4BD1-9906-74C60167562A} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1CFA5B6C-D0A9-44E3-9A22-9E12FACC94BF} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1FDDA46C-F8DD-43AE-BB17-E2D049D6538D} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{305A45C9-CADC-40D7-B5CA-F85459F2881E} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{307823D4-F4FE-44DE-A521-D510AA7BB952} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{314136C7-3548-4209-9538-F5A74327E670} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{403838C9-4B96-48ED-9446-4AFA60313084} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{8D207BAA-C7FC-4826-8148-0AB788C222E4} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{91B33F97-7C60-428C-AD6E-01D9717DBE44} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{A67D2FC9-7AB3-46A6-BA2D-57CFDD2B532D} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{C7B503C3-FD3D-448C-9590-54EDE7FEDB67} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{D1AF06CC-CF29-4FED-A942-9C4969BB8029} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{DC2C9C93-8CDF-4417-84DC-E9CDDE31C9B6} C:\Users\Tomek\AppData\Local\Mozilla C:\Users\Tomek\AppData\Roaming\Mozilla C:\Users\Tomek\AppData\Roaming\Microsoft\Office\Niedawny\*.lnk C:\Users\Tomek\AppData\Roaming\Microsoft\Virtual PC C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MaxBatch.lnk C:\Users\Tomek\Desktop\inne\Far Cry.lnk C:\Users\Tomek\Desktop\inne\iPlus.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

W raporcie nie widać oznak infekcji. Podaj na jakich stronach wyskakują reklamy, pokaż przykładowe zrzuty ekranu prezentujące reklamy oraz wyciągi ze skanera ESET. Brakuje też obowiązkowego raportu z GMER. Opcja "Sprzątanie" w OTL służy tylko i wyłącznie do usunięcia programu OTL (i kilku innych narzędzi) i rekonfiguracji opcji które OTL zmienił podczas skanu, nie ma nic wspólnego z usuwaniem infekcji. Poza tym, już od dawna nikt nie używa OTL w analizie, obecnie archaiczny program, FRST go bije na głowę liczbą skanów i bug-fiksów.

Posługujesz się starą zdezelowaną Operą 12.17 z krytycznymi lukami. Najnowsza wersja tej linii (która i tak jest już stara i pewne strony mogą źle w niej chodzić) to 12.18. FRST nie skanuje tej staroci, więc konfiguracja całościowa tej przeglądarki nie jest znana, poza tym co FRST uwzględnia przypadkowo przez zbieżność z nową serią Opera, tzn. skróty. Tak więc jest tu tylko wiadome, że na pewno ta przeglądarka ma zmodyfikowane przez adware skróty uruchomienia. Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje (zagrożenie infekcjami szyfrującymi dane): Adobe Flash Player 11 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader 7.0.9 - Polish, DivX Setup, Java 7 Update 65. Operę na razie pomijam, ale musisz to potem też nadrobić. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://startsear.ch/?aff=2&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4 HKU\S-1-5-21-602162358-926492609-725345543-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://startsear.ch/?aff=2&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4 HKU\S-1-5-21-602162358-926492609-725345543-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKLM -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKU\S-1-5-21-602162358-926492609-725345543-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=2&src=sp&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4&q={searchTerms} SearchScopes: HKU\S-1-5-21-602162358-926492609-725345543-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=2&src=sp&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4&q={searchTerms} SearchScopes: HKU\S-1-5-21-602162358-926492609-725345543-500 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 Toolbar: HKU\S-1-5-21-602162358-926492609-725345543-500 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku Toolbar: HKU\S-1-5-21-602162358-926492609-725345543-500 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f ShortcutWithArgument: C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-602162358-926492609-725345543-500\...\Policies\Explorer: [NoSaveSettings] 0 Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{6A0507BA-1B7E-4F5A-8FEF-5FAB859448D1}.exe MSCONFIG\startupfolder: C:^Documents and Settings^Administrator^Menu Start^Programy^Autostart^RazossUpdater.lnk => C:\WINDOWS\pss\RazossUpdater.lnkStartup MSCONFIG\startupreg: C: => MSCONFIG\startupreg: DivXUpdate => "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW MSCONFIG\startupreg: rzclenrygzbukfd => C:\Documents and Settings\All Users\Dane aplikacji\rzclenry.exe MSCONFIG\startupreg: vProt => "C:\Program Files\AVG Secure Search\vprot.exe" MSCONFIG\startupreg: WinampAgent => "C:\Program Files\Winamp\winampa.exe" DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera.exe DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\Opera\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files\Opera\Opera.exe"" /f C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla C:\Documents and Settings\Administrator\Menu Start\Programy\Moja Firma 2013 (Ad-Al) - program C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\Ad-Al 2012.lnk C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\Ad-Al 2013.lnk C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\MF 2008.lnk C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\MF 2009.lnk C:\Documents and Settings\Administrator\Pulpit\Programy\Foxit Reader.lnk C:\Documents and Settings\All Users\Dane aplikacji\teskbfxlyldumyg C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2009 C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2010 C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2011 (Ad-Al) - program C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2011 (Ad-Al) - stanowisko robocze C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Thunderbird C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jako że nie ma w raporcie konfiguracji tej przeglądarki, należy z poziomu opcji ręcznie wyczyścić sesję przywracania, cache i historię oraz ewentualnie inne zmodyfikowane ustawienia. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

W systemie liczne infekcje, nie tylko UCGuard, także infekcja WMI infekująca skróty oraz zainfekowane Chrome (fałszywy profil user0 - na dysku ChromeDefaultData2). Działania do przeprowadzenia: 1. Na początek deinstalacje starych wersji i zbędnych aplikacji poprzez klawisz z flagą Windows + X > Programy i funkcje: Adobe Flash Player 15 Plugin, Badanie mające na celu poprawę produktów HP Deskjet 3540 series, Bonjour, HP Customer Participation Program 14.0, Java 7 Update 45, Java 7 Update 9 (64-bit), McAfee Parental Controls, McAfee Security Scan Plus, McAfee WebAdvisor, Secure Download Manager, Shared C Run-time for x64. 2. Zaktualizuj FRST, jest już nowsza wersja. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA R2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [280576 2016-09-05] () [Brak podpisu cyfrowego] R2 MeneghtNodifier; C:\Program Files (x86)\Lopchchatught\stofigegrinespCloud.dll [297984 2016-09-16] () [Brak podpisu cyfrowego] S2 DecacultSystem; C:\Program Files (x86)\Sherbaly\BpsCloud.dll [X] NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {01A14B24-F120-41CA-B7A0-CC27C3DB6613} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {0968DE7E-E94F-4138-9D1D-4A6FF091340F} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA Task: {1967334D-D2D0-432D-8E5F-D17EB13F8548} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA Task: {1C4E1A54-FE3C-4683-9E5A-C2E6D61662CA} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {277FE09A-EB2B-4FA8-8846-1B658F2BA66F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {5452B4A0-538A-44CD-8E9B-72C595BD9511} - \CCleanerSkipUAC -> Brak pliku <==== UWAGA Task: {5512A6BE-C150-44AC-8ED0-472B497F27C8} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA Task: {62C68AA6-2DFC-4D73-BE4F-F12467A75D83} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {6CE51701-C90F-49AC-ABFD-CDE9248E7636} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA Task: {879CC183-9379-4D67-8FF9-51243ED2A59B} - \Desk 365 RunAsStdUser -> Brak pliku <==== UWAGA Task: {908BEF62-ED7D-475D-89CB-AE349A9EDE44} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {91CA4E88-9DA3-41B1-A59E-7151F60B12D2} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {A1FA585C-E739-41C6-B61B-56D251B6C847} - System32\Tasks\Pholdom Center => C:\Program Files (x86)\Mzityatupile\kivaty.exe [2016-09-16] (Kunshan Aunbox software co.,Ltd) Task: {AAEDF554-139A-4F61-A71C-E7362BC60DC8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {B01E74A3-318B-4946-879F-6114A7CF011A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {B1CB2E76-2B1D-46AA-9D71-62ABFA317E4A} - System32\Tasks\Decacult System => C:\Program Files (x86)\Sherbaly\clebaly.exe Task: {B363F06A-EBFE-42AC-BD25-9CC618FAB438} - System32\Tasks\Meneght Nodifier => C:\Program Files (x86)\Lopchchatught\arevly.exe [2016-09-16] (CHENGDU YIWO Tech Development Co., Ltd) Task: {B77A6898-7462-480E-9C79-EA1985D21B3F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {BAED9D64-73CF-405F-9B32-1B801B9E9E42} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {D1312E44-82F6-4346-9951-6940B62D30C5} - System32\Tasks\Sony Corporation\VAIO Care\UpdateContacts => C:\ProgramData\Sony Corporation\VAIO Care\UpdateContacts.exe Task: {E19F7C4C-3EAD-4C18-B10D-E2B67D99675E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {EF0C2853-286B-4AA6-9872-DAB87B70F37B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {F98E4113-5B15-47E0-82C7-6FFA0CEEE3E5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {FC451B58-0448-485B-8DD8-1DB4FD353E0F} - System32\Tasks\{73A0484E-0076-4985-A4B3-92478C3D29FA} => pcalua.exe -a D:\autorun.exe -d D:\ Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-09-16] () HKLM\...\Run: [BtvStack] => "C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe" HKLM\...\Run: [BtTray] => "C:\Program Files (x86)\Bluetooth Suite\BtTray.exe" HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [sun21] => [X] HKLM-x32\...\Run: [win_en_77] => [X] HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Run: [] => 0 HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Run: [OZIDFASLW3] => "C:\Program Files (x86)\DPower\POFDRUJ3WS.exe" HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Policies\Explorer: [] HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\StartupApproved\Run: => "Spotify" WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA ShortcutWithArgument: C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\PIOTRC~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\PIOTRC~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\PIOTRC~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc GroupPolicy: Ograniczenia - Chrome <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-2351160239-3609625897-3084254237-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.coldsearch.com/?uid=807f9e37-daae-4542-b490-1e01b500b667 FirewallRules: [TCP Query User{B2F6FFB8-AB39-468F-AA6F-A2FB5D56F9A5}C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe] => (Block) C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe FirewallRules: [UDP Query User{E133170E-7300-4977-82C6-7D3593C50C2A}C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe] => (Block) C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe FirewallRules: [{156C7830-4177-49B9-BE18-3940AA052C34}] => (Allow) C:\Users\Piotr Chmielewski\AppData\Local\Temp\is-L3MRF.tmp\download\MiniThunderPlatform.exe FirewallRules: [{F36B2E05-77F9-49B6-9ACB-5C9253B34AA7}] => (Allow) C:\Users\Piotr Chmielewski\AppData\Local\Temp\00002844\inst_buychannel_37.exe FirewallRules: [{19583E26-C47D-4848-A033-DF1F0828A457}] => (Allow) C:\Users\Piotr Chmielewski\AppData\Local\Temp\00002844\inst_buychannel_37.exe FirewallRules: [{DFC54A4F-9636-4840-AFB4-54F9353529A8}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{73A686A1-DB95-4E5A-8E47-A1EF4A7D7F4A}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{60993930-37A3-4E95-B25D-4C0660E767AE}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{2E434BA0-6A5C-4778-A6DE-0FF5698255E6}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{E4E6F595-8207-4AF3-877A-AC2314A3CA98}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{14C5200E-3AE9-447A-ADF2-63B962754D94}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\żěŃą C:\Program Files (x86)\evmtjez4 C:\Program Files (x86)\Lopchchatught C:\Program Files (x86)\Mzityatupile C:\Program Files (x86)\Pleqok C:\Program Files (x86)\sbqh C:\Program Files (x86)\Sherbaly C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\Common Files\Apps C:\ProgramData\AVAST Software C:\ProgramData\AVG C:\ProgramData\Avira C:\ProgramData\cosun C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Users\Piotr Chmielewski\AppData\Local\Ckulalypezok C:\Users\Piotr Chmielewski\AppData\Local\Clervagh C:\Users\Piotr Chmielewski\AppData\Local\Pakaphshuzosh C:\Users\Piotr Chmielewski\AppData\Local\Plvirygasuied C:\Users\Piotr Chmielewski\AppData\Local\UCBrowser C:\Users\Piotr Chmielewski\AppData\Roaming\Kuaizip C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\user0 - Chrome.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Piotr Chmielewski\Downloads\*.crdownload C:\Users\Piotr Chmielewski\Desktop\Continue VLC media player installation.lnk C:\Users\Public\Thunder Network C:\WINDOWS\Joberphlusisp C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\SSL CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows * (konieczny, by ubić UCGuard). Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybierz Tryb awaryjny. 3. Wyczyść Google Chrome. Jak mówiłam, jest wstawiony sztuczny profil o atypowej nazwie. Należy założyć całkiem nowy profil w Ustawienia > karta Ustawienia > Osoby > Dodaj nową osobę. Po utworzeniu nowego profilu otwórz Chrome z nim, okna poprzedniego zamknij, a w/w opcjach skasuj poprzedni profil user0. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Prawie wszystko zrobione, z wyjątkiem: Zanim przejdę dalej: Te pliki się odtworzyły, więc na początek ustalmy czy widzisz problem z aktywacją systemu (błąd o nielegalnym Windows).

Tak, ja wiem że to jest ogólny adres player.pl, mi chodzi o dokładny przykładowy link video z player.pl. Mam jednak limitowane możliwości weryfikacji, mieszkam w Holandii i muszę kombinować z VPN/proxy, by video się otwierało.

Użyłeś potwornie stary FRST, pozbawiony masy nowych skanów i poprawek: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 06-10-2014 01 (ATTENTION: ====> FRST version is 712 days old and could be outdated) Od tego czasu to chyba z kilkaset aktualizacji było... Twoja wersja nie zaktualizuje się też automatycznie (ziana adresów). Najnowszy FRST jest sprzed dwóch dni. Pobierz tę wersję z przyklejonego: FRSTKLIK. Zrób nowe raporty (wszystkie trzy).

Zapomniałaś dołączyć plik Fixlog.txt z wynikami usuwania. Nie uruchamiaj skryptu ponownie, chodzi o plik który już jest na dysku w folderze z którego uruchomiłaś FRST. Podaj przykładowe linki do stron, które nie działają w Chrome.

DelFix wykonał robotę. Usuń plik C:\delfix.txt. Zapomniałam wcześniej powiedzieć, że do usunięcia także z Pulpitu folder GP + plik Upload.zip, a z folderu Pobrane GMER. Temat rozwiązany. Zamykam.

Wszystko zrobione. AdwCleaner używałeś już wcześniej, czyli możemy kończyć: 1. Zastosuj DelFix, wyczyść foldery Przywracania systemu, a także zaktualizuj Internet Explorer do wersji IE11. Wszystkie operacje rozpisane tutaj: KLIK. 2. Materiał edukacyjny na co uważać, bo adware nabyłeś podczas pobierania jakiegoś "downloadera": KLIK. To wszystko.

Jeden wpis śmiecia znaleziony. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-410550195-1196533998-280330643-1000\Software\jcfppn.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy plik fixlog.txt.

Tu jeszcze nie koniec działań. W pliku Registry.pol były też odniesienia do innych obiektów adware. Poproszę dla pewności o wyszukiwanie w rejestrze: Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. jcfppn

Wszystko jasne. Są polityki Chrome, tylko FRST ich nie wykrył. W pliku C:\Windows\system32\GroupPolicy\User\registry.pol jest konfiguracja adware. Należy zresetować polityki: 1. Otwórz Notatnik i wklej w nim: C:\Windows\system32\GroupPolicy\Machine C:\Windows\system32\GroupPolicy\User C:\Windows\system32\GroupPolicy\GPT.INI C:\Windows\SysWOW64\GroupPolicy\GPT.INI Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić automatyczny restart Windows, ale jeśli to się nie stanie, wykonaj restart ręcznie. Przedstaw wynikowy plik fixlog.txt. 2. Problem w Chrome powinien zostać rozwiązany. Wejdź do opcji i sprawdź czy domyślna wyszukiwarka uległa resetowi. Jeśli nie, teraz nie powinno być problemu z wykonaniem poprzednio podanej akcji ręcznej.

Czyli po najechaniu myszką (a nie z kliku) na to pierwsze poprawne Google nie pokazuje się opcja "Ustaw jako domyślną"? Poproszę o dane do ręcznej analizy. Otwórz Notatnik i wklej w nim: CMD: md C:\Users\Milosz\Desktop\GP CMD: xcopy /e C:\Windows\system32\GroupPolicy C:\Users\Milosz\Desktop\GP Zip: C:\Users\Milosz\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences;C:\Users\Milosz\AppData\Local\Google\Chrome\User Data\Web Data;C:\Users\Milosz\Desktop\GP;C:\Windows\SysWOW64\GroupPolicy Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Na Pulpicie powstanie plik Upload.zip. Shostuj go na jakimś zewnętrznym serwisie i podaj link do paczki.

Ale przecież mówiłam, że najpierw musisz ustawić normalną wyszukiwarkę Google jako domyślną (czyli tę pierwszą pozycję) i dopiero po tym będzie można skasować to "Custom search". To normalne, że Chrome nie pozwala usunąć domyślnej wyszukiwarki. Druga sprawa, gdzie widzisz napis "o tym ustawieniu decyduje administrator"? Ja tego nie widzę na podanym zrzucie ekranu...

Jeśli chodzi o "Custom search", po prostu spróbuj tego: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną normalną wyszukiwarkę Google, następnie skasuj z listy wszystkie inne pozycje.

Spróbuj po prostu zresetować router poprzez przycisk zasilania.

Skoro ustawienia są OK, to czy nie jest to po prostu stara "historia"?

Pokaż na obrazku gdzie to widzisz. Wszystko wykonane i nie widać już żadnych szkodników. Drobna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\AdwCleaner Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

To nie jest dobry pomysł. Zapomniałam napisać, ta łata KB3172605 wymaga by przed nią zainstalować KB3020369. Jeśli to nic nie wniesie do sprawy (lub łatę tę już posiadasz), to: Spróbuj w Panelu sterowania w konfiguracji Windows Update zaznaczyć opcję "Nie wyszukuj aktualizacji" + restart systemu. Po restarcie podejmij się próby ręcznej instalacji łaty. Gdy to się uda, przywróć wyszukiwanie aktualizacji, zainstaluj wszystko co znalezione. - Tak. - To jest komponent HitmanPro.Alert, a nie standardowego skanera HitmanPro, na liście zainstalowanych brak tej aplikacji. Tylko dwa klucze zostały. Jeśli jest problem z ich usunięciem, możesz zastosować skrypt fixlist.txt o treści: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\eventlog\Kaspersky Event Log DeleteKey: HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\AppId_Catalog\122F9800-20668A9F

GMER nic nowego nie wnosi do sprawy. Podane wcześniej instrukcje nadal aktualne.

Podana łata KB3102810 stara (z 2015), tu raczej należy sprawdzić czy jest KB3172605:

Zadania nie usunęły się, choć są obecnie martwe. Zrób nowy skrypt fixlist.txt do FRST o następującej treści: Task: {2AB6CBD3-6F5D-428A-8D2B-36804562C06C} - System32\Tasks\{F6DB9864-A15B-45A5-970B-B702F9D74B30} => D:\Program Files (x86)\Steam\SteamApps\common\Mashed\launch.exe Task: {A5C8B19E-F098-4CE7-B62E-70D5601F83C0} - System32\Tasks\{35CC3810-D684-4CCF-BB9F-72F867C178CF} => D:\Program Files (x86)\Steam\SteamApps\common\Mashed\MASHED.exe Przetestuj czy tymczasowe wyłączenie usługi (włącznie z zakończeniem procesu) obniża obciążenie zasobów. Jeśli wyjdzie na jaw, że to WU, to raczej tu nic nie da się zrobić. Czy masz zainstalowane wszystkie aktualizacje? Na wszelki wypadek zacytuję jeszcze z innego tematu:

Naprawa błyskawiczna, gdyż tylko drobne rzeczy były do przetworzenia. Podany skrypt uruchomiłeś niepotrzebnie aż dwa razy (w logu odczyt Run:3), skrypt jest jednorazowego użytku i nie przetworzy ponownie tego samego. Wszystko wygląda na wykonane, AdwCleaner był już wcześniej uruchamiany, więc nie sądzę by teraz coś wykrył. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.