picasso

Fix FRST pomyślnie wykonany. Natomiast jeśli chodzi o wyniki AdwCleaner, to czepia się programu MyFreeCodec (od Samsunga). Odinstaluj ten program w tradycyjny sposób za pomocą Panelu sterowania. Następnie uruchom AdwCleaner ponownie, wybierz sekwencję opcji Skanuj + Oczyść i dostarcz log z wynikami usuwania.

"Poziom wyżej" czyli do głównego widoku pendrive, tak jak to było oryginalnie przed manipulacją infekcji. 1. Jeśli chodzi o pendrive, to dwa skróty F:\Removable Drive (16GB).lnk + H:\RYSZARD (8GB).lnk nie zostały usunięte (błędy "Odmowa dostępu"). Czy jesteś je w stanie ręcznie skasować? 2. Jeśli chodzi o infekcję dnsapi.dll, to jakoby "Disinfected". W logu był komunikat, że wymagany restart komputera. Jeśli tego nie zrobiłeś jeszcze, wykonaj. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, mający potwierdzić wyleczenie pliku.

Plik Addition.txt nie wygląda na oryginalny plik utworzony przez FRST, tylko wtórnie przez Ciebie zapisany do nowego pliku z błędnym kodowaniem (ANSI zamiast UTF-8). Znaki specjalne uszkodzone. Czy tak? Czy posiadasz logi z narzędzi pokazujące co było usuwane? W raportach FRST mało co widać, w zasadzie tylko uszkodzony Winsock, z tym że to raczej nie powinno produkować takich objawów. Skoro problem nie występuje w trybie awaryjnym, prędzej nasuwa się jakiś proces uruchamiany w trybie normalnym i tu najbardziej podejrzany wydaje mi się Comodo Internet Security, który wg raportów został co dopiero zainstalowany. Ale są też oznaki uszkodzenia struktury systemu plików, uruchamiał się checkdisk i "ścinał" jakieś dane: 2016-09-16 04:43 - 2016-09-16 04:43 - 00000000 __SHD C:\found.000 Na razie doczyść to co widać w raportach, choć wątpię, by to wniosło coś do sprawy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia S2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.3.0.5\WsAppService.exe [X] S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\MobileGo\DriverInstall.exe" [X] HKLM\...\Run: [Zoolz Tray] => "C:\Program Files\Genie9\Zoolz2\ZoolzLauncher.exe" "C:\Program Files\Genie9\Zoolz2\Zoolz.exe" "-Delay" HKLM-x32\...\Run: [V0770Mon.exe] => C:\WINDOWS\V0770Mon.exe HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe" /regrun HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Run: [iVONA Reader] => "C:\Program Files (x86)\IVONA\IVONA Reader\IVONA Reader.exe.exe" -t -nosplash HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Run: [Wondershare Helper Compact.exe] => "C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelperSetup.exe" HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Policies\Explorer: [] HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\WINDOWS\SysWOW64\lol.scr [3721216 2016-03-30] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MobileGo Service.lnk [2016-09-13] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\pl-PL\acadficn.dll => Brak pliku FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] C:\Program Files (x86)\mozilla firefox\plugins Task: {2AB12A6D-3B88-4F3C-8CC2-2C18972BED98} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {348EA700-9E29-4A55-BBDC-4733D4A49959} - System32\Tasks\{87DDD544-5C8C-4F66-81A2-CD74E8EAFC5A} => Chrome.exe hxxp://ui.skype.com/ui/0/7.16.85.102/pl/abandoninstall?page=tsMain Task: {4260A90F-F859-4492-8E30-F8A83816CEEB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {582908C5-E4A9-4535-A65E-CD736D805801} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {71C6D247-689D-44CD-8D33-B87B44470D43} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {89D9196C-E171-4718-8965-3DC49E17431A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {A0C7ABF4-4CB7-4A77-A8F6-8C79737BA2AD} - System32\Tasks\{41D908F6-F45D-457F-B97E-F4E5727B7B7B} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.85.102/pl/abandoninstall?page=tsBing Task: {A59C80FB-7922-49EA-8457-20AF5D475126} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C7AF8D28-7E5B-4E14-85A2-A1C757DF9028} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {CA6A5025-404E-4EC6-8DF0-B5E0CA171629} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {CE4AA747-1628-4F76-A9D4-17D88DE72247} - \CCleanerSkipUAC -> Brak pliku Task: {D0F82F61-F0E5-4B47-B6DB-A7C098B44E7E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D57DC54B-DDE8-4CA8-A5DA-9BEE70E2A155} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {EE03EDB2-80D4-4E48-A76E-7F2CC4FF46ED} - System32\Tasks\{40DBD3A8-A1A2-4C32-B629-A9D859EAD836} => pcalua.exe -a C:\Dev-Cpp\devcpp.exe -d C:\Dev-Cpp Task: {F6133A36-BB43-443D-86A6-50846C7686A3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\exefile: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.exe: => HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\scrfile: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.scr: AutoCADScriptFile => HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\comfile: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.com: => DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "7 Taskbar Tweaker" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Discord /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v EvolveClient /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GG /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v iTunesHelper /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Zoolz Tray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ADSKAppManager /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v GrooveMonitor /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tvncontrol /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v V0770Mon.exe /f C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare C:\Users\Michi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wondershare MobileGo.lnk C:\Users\Michi\AppData\Roaming\Microsoft\PowerPoint\Bezpieczeństwo%20w%20terenie%20leśnym304883932433099032\Bezpieczeństwo%20w%20terenie%20leśnym.pptx.lnk C:\Users\Michi\AppData\Roaming\Microsoft\Windows\SendTo\Wondershare MobileGo.lnk C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Michi\Desktop\League of Legends.lnk C:\Users\Michi\Desktop\Pulpit\loader.exe — skrót .lnk C:\Users\Michi\Desktop\Pulpit\Overwatch.lnk C:\Users\Michi\Desktop\Pulpit\Zoolz.lnk C:\Users\Michi\Links\Strefa bez ochrony.lnk CMD: netsh winsock reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Spróbuj wejść w tryb normalny. Jeśli nie uda się, spróbuj z poziomu awaryjnego odinstalować Comodo. Nie pamiętam na czym jest operarty instalator Comodo - jeśli na Instalorze Windows, nie da się go odinstalować z poziomu awaryjnego (w tym stadium nie działa wymagana usługa). 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition (bez Shortcut). Dołącz też plik fixlog.txt.

Skoro temat założony w dziale diagnostyki malware, a system był zainfekowany, to niezależnie od tego, że już używano skanery należy dostarczyć wymagane logi z FRST. To po to, by potwierdzić usunięcie infekcji. Tu zwykle nawet po użyciu automatów czyszczących infekcje i tak mam się czym zajmować (usuwanie pozostałości). Został użyty CCleaner, który czyści Pale Moona, więc tu jako możliwości zostaje jedynie poszukiwanie poprzedniej wersji folderu profilu (zawierającej plik places.sqlite kombinujący historię i zakładki) w ścieżce: %AppData%\Moonchild Productions\Pale Moon\Profiles Jeśli Przywracanie systemu było aktywne, można skorzystać z ShadowExplorer. Jeśli jednak nie było ono włączone lub niestety wyczyszczono poprzednie punkty Przywracania, to już tylko programy do odzyskiwania danych typu Recuva. Przy czym im dłużej działa system, tym mniejsza szansa na odzysk. On może być już nawet niemożliwy.

Skasuj plik C:\delfix.txt z dysku. Temat rozwiązany. Zamykam.

Kończymy. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z tych lokalizacji: D:\, D:\2. A po tym uruchom DelFix. To wszystko.

W rejestrze jeszcze trochę śmieci od Tencent. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\.apk DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER DeleteKey: HKU\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Tencent DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1B5D5DBD-C857-4377-A755-06E50B4AC2B0} DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{639B74F1-0594-432C-97C8-68C8C17A1E1D} DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.apk Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BROWSER_EMULATION" /v "QQPhoneManager.exe" /f Reg: reg delete "HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit" /v LastKey /f Reg: reg delete "HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\Uninst.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix FRST pomyślnie wykonany. AdwCleaner wykrył dużo szczątków adware w rejestrze. Uruchom go ponownie, zastosuj kombinację opcji Skanuj + Oczyść[/] i dostarcz wynikowy log z usuwania.

Deinstalacja Tencent wprawdzie rzeczywiście miała miejsce, ale i tak to nie zlikwidowało wielu obiektów Tencent, którymi zajął się za to skrypt FRST. Wszystko pomyślnie wykonane. Niepożądane obiekty nie są już aktywne. Teraz już tylko poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Spyware Terminator C:\Users\Marcia\Downloads\SpywareTerminatorSetup.exe C:\Windows\Tasks\DriverToolkit Autorun.job DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Tencent;QQPCMgr;QQPhoneManager;MSUser.Default

Wszystko jasne. Przechodzimy do dalszych czynności usuwających, tzn. usunięcie szkodliwych "dostawców drukarki" oraz wykluczeń skanowania. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{38DD0B4A-E4E0-4A57-99EE-DCCB185B4728} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{45965C76-4C88-4512-9358-368483E1C3B1} DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\09giopag DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\3pa8djdb DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\4vmjx6yb DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\58xh0wtw DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\893bdauo DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\bojl99vl DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\c7k58pdl DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\dc7zd7qa DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\dkokgbi6 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\gamcqiam DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\j9ibs5ww DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\nvxmth9r DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\nz71z4zq DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\posyfqav DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\uhpn0hmc DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\vak6jw5r DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\vbn156p9 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\w1kom2ao DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\wpeqfc6u DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\yyut0595 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D42C3A49-ABAF-464B-BBCE-991C3DD395E8} DeleteKey: HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D42C3A49-ABAF-464B-BBCE-991C3DD395E8} Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers /v order /t REG_MULTI_SZ /d "LanMan Print Services\0Internet Print Provider" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers Reg: reg delete "HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Youtube AdBlock\uninstall.exe" /f C:\Users\boogie\AppData\Local\Google\Chrome\User Data\local64spl.dll EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wywołaj kolejne Search Registry (Szukaj w rejestrze) na podany poniżej warunek, a log dostarcz tylko gdy coś zostanie znalezione, w przeciwnym wypadku jest zbędny. MSUser.Default Dodatkowo, zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Załadowana została ogromna ilość adware/PUP, nie tylko Tencent. Działania wstępne do przeprowadzenia: 1. Deinstalacje: Ponów próbę, ale tym razem z prawokliku na plik uninstall Uruchom jako administrator. Niezależnie od (nie)powodzenia akcji przejdź do dalszych kroków. Dodatkowo, przez Panel sterowania odinstaluj Spyware Terminator 2015 (skaner wątpliwej reputacji!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f R2 CfHelper33; C:\Users\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 CfHelper44; C:\Users\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 CfHelper55; C:\Users\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 CfHelper66; C:\Users\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 JohicultdruvaspHost; C:\Program Files (x86)\Bigesreerqsp\PhdLnc.dll [313344 2016-09-15] () [brak podpisu cyfrowego] R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCRtp.exe [318096 2016-09-15] (Tencent) U2 QQRepair5ae; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair5ae [155368 2016-09-15] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [155368 2016-09-15] () R2 SoSoIm3; C:\Program Files (x86)\SoSoIm_3\SoSoIm3.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 SoSoIm4; C:\Program Files (x86)\SoSoIm_4\SoSoIm4.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 SoSoIm5; C:\Program Files (x86)\SoSoIm_5\SoSoIm5.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 SoSoIm6; C:\Program Files (x86)\SoSoIm_6\SoSoIm6.exe [190980 2016-09-15] () [brak podpisu cyfrowego] S2 QQRepaira11; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepaira11" [X] R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMUdisk64.sys [189432 2016-09-02] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQSysMonX64.sys [154744 2016-09-15] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\softaal64.sys [44664 2016-09-15] (Tencent) R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [185848 2016-09-15] () R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [100056 2016-09-15] (Tencent) R1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [147576 2016-09-15] (Tencent Technology(Shenzhen) Company Limited) R3 TcHardWare; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCHW-x64.sys [16552 2016-09-15] (Tencent) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [97400 2016-09-15] (电脑管家) R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\TS888x64.sys [38520 2016-09-15] (Tencent) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\TsDefenseBT64.sys [28984 2016-09-15] (Tencent) R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\TsNetHlpX64.sys [57976 2016-09-15] () S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-09-15] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\TSSysKit64.sys [96888 2016-09-15] (电脑管家) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCTRAY.EXE [364776 2016-09-15] (Tencent) HKU\S-1-5-21-26662013-3925648858-865435436-1000\...\Run: [produpd] => C:\Users\Marcia\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe [657408 2016-09-15] (VDI) Startup: C:\Users\Marcia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\produpd.lnk [2016-09-15] Task: {33BB3ED5-57E0-44F3-9E7A-906B3F913E7B} - System32\Tasks\26-1-458-934 => Rundll32.exe "C:\ProgramData\26.1.458.934\26.1.458.934.dll",DllRegisterServer Task: {5796F20A-91D6-4B56-98B3-6C260EC44C21} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {7202C668-7FD2-47E1-8077-B5B36345C307} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\Program Files (x86)\30hywmyy\341jc.js Task: {75DD2A42-FD60-4B0F-9DC7-514121C9FA75} - System32\Tasks\Driver Booster SkipUAC (Marcia) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {EE82DD1D-1CB3-4AAE-A50D-1C845B0F8A8C} - System32\Tasks\Johicultdruvasp Host => C:\Program Files (x86)\Bigesreerqsp\arekuge.exe [2016-09-15] (Kunshan Aunbox software co.,Ltd) ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMGCShellExt64.dll [2016-09-15] (Tencent) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} FirewallRules: [{281A4784-250F-437E-912F-7D7EDE642CC0}] => (Allow) C:\Windows\system32\rundll32.exe FirewallRules: [{FCA6352D-0636-4E0A-9455-4E6AFF3FB332}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCTray.exe FirewallRules: [{E40AAC93-A071-4C81-8052-75CADDCDA011}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCMgr.exe FirewallRules: [{EA147257-EF13-4A3D-8A41-E33CA57E4E8F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCRTP.exe FirewallRules: [{90E63EBB-B67E-4D13-8746-65C6B6A63E55}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMDL.exe FirewallRules: [{FC0D21C3-F987-4897-9A8C-8A7DE930FE4E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\bugreport.exe FirewallRules: [{E1FC5B45-CE1A-435C-B698-D1CF5DDC9762}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCFileOpen.exe FirewallRules: [{4FA13639-CDD7-44B9-AB5C-8BF32D86000D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCLeakScan.exe FirewallRules: [{0C20EDA1-4492-439F-A1F0-DF5DFB96A75C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPConfig.exe FirewallRules: [{57F98F4C-612C-4F3A-863B-2958180AD676}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCSoftMgr.exe FirewallRules: [{AC8D83D5-4C24-40B9-8618-205A011CE2B3}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\plugins\QMNetMon\QQPCNetFlow.exe FirewallRules: [{B0B0D6B9-51F0-4249-8651-5691C94A94AD}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCBTU.exe FirewallRules: [{F531FC6D-EAB9-4B7D-AF14-18F9CF1E7CF4}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCClinic.exe FirewallRules: [{E208DE28-3060-4DE5-98AC-438E248FFA5C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCLaunch.exe FirewallRules: [{55DF29BB-2236-4441-B4C4-8EB23B343969}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{955D8454-4A9B-4BDC-94BC-51D5191E9E02}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCSoftGame.exe FirewallRules: [{E220BE71-DB93-4DBB-9604-6A3B8D2E4ECB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCSysOptimize.exe FirewallRules: [{47391654-A5FE-4D68-ABC6-C681DA731A7E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCUpdateAVLib.exe FirewallRules: [{DEF6B3F0-70DE-44D7-8F17-54A0085A8287}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQRepair.exe FirewallRules: [{9E6AF492-0D13-498B-8A86-7886B1632C16}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\Uninst.exe FirewallRules: [{7B3482F5-D74A-4FD7-B3E7-A9A2D5BA49B2}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCPatch.exe FirewallRules: [{08CB2348-6187-4B2E-AAA7-5AD08541ABB0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\TpkUpdate.exe FirewallRules: [{4B0530E5-2706-4B5C-ADC9-6FFBD493793C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMAccountProtection.exe FirewallRules: [{F1DDBEDC-995F-4233-A297-3F088EF93A84}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMAdBlock.exe FirewallRules: [{8B1FBD43-054E-4CDC-BE7D-F7F83A0F96F9}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{BD0C6D8C-0016-4689-AD47-34FFF4215E45}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{B3AB1C96-6774-403E-ACD9-6CC6EE506D7B}] => (Allow) C:\Program Files (x86)\Spyware Terminator\SpywareTerminator.exe FirewallRules: [{7D885912-2F6C-45F7-9DDB-09F0F653CC25}] => (Allow) C:\Program Files (x86)\Spyware Terminator\SpywareTerminator.exe FirewallRules: [{EA8DE624-6884-46E9-9A55-5607B712CF10}] => (Allow) C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe FirewallRules: [{77BA7331-255B-4791-8734-E9DF4624398D}] => (Allow) C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe FirewallRules: [{236115EB-DBAD-4B13-BB58-E99ABECC1612}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{BC6EB5B7-EAF4-49B3-82E0-9D5FDAEFC7C9}] => (Allow) C:\Windows\System32\rundll32.exe Tcpip\..\Interfaces\{2CDE34FA-D196-416A-B760-DF544BBAFD5A}: [NameServer] 45.32.152.160 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2438D969-99EC-495F-815D-5ECE90E7D9F9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\*.dll") do regsvr32 /s /u %i CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i CMD: for %i in ("C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i CMD: ipconfig /flushdns C:\Program Files\Common Files\Tencent C:\Program Files (x86)\30hywmyy C:\Program Files (x86)\Bigesreerqsp C:\Program Files (x86)\DriverToolkit C:\Program Files (x86)\fez530on C:\Program Files (x86)\SoSoIm_3 C:\Program Files (x86)\SoSoIm_4 C:\Program Files (x86)\SoSoIm_5 C:\Program Files (x86)\SoSoIm_6 C:\Program Files (x86)\Tencent C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\26.1.458.934 C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\mntemp C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\MSUser.Default C:\Users\Marcia\AppData\Local\DriverToolkit C:\Users\Marcia\AppData\Local\Kugise C:\Users\Marcia\AppData\Roaming\Tencent C:\Users\Marcia\AppData\Roaming\VDI C:\Users\Marcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\强力卸载电脑上的软件 .lnk C:\Users\Marcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\电脑管家.lnk C:\Users\Marcia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Marcia\Downloads\*-dp*.exe C:\Users\Public\Desktop\电脑管家.lnk C:\Windows\Joberphlusisp C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TAOKernel64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\SysWOW64\Drivers\TS888x64.sys Reg: reg query "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\Winstep Xtreme Service" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Na tym komputerze także nie widać tytułowej infekcji. Tu jest tylko zainstalowany niepożądany program Babylon oraz poniższe martwe skróty od starej infekcji z pendrive (wygląda na to, że skróty przekopiowano skąd ręcznie): Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Documents.lnk -> F:\tauocey.scr (Brak pliku) Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Music.lnk -> F:\tauocey.scr (Brak pliku) Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\New Folder.lnk -> F:\tauocey.scr (Brak pliku) Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Passwords.lnk -> F:\tauocey.scr (Brak pliku) Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Pictures.lnk -> F:\tauocey.scr (Brak pliku) Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Video.lnk -> F:\tauocey.scr (Brak pliku) Czyli do wykonania poboczne działania nie powiązane w ogóle z problemem tytułowym: 1. Odinstaluj stare wersje i zbędne aplikacje: Adobe AIR, Adobe Flash Player 22 NPAPI, Adobe Reader X (10.1.6), Amazon.co.uk, Babylon, Badanie mające na celu poprawę produktów HP Deskjet 2540 series, Bing Bar, eBay, Gadu-Gadu 10, HP Customer Participation Program 13.0, Java 6 Update 32, Skype Toolbars. Stare wersje m.in. mogą być przyczyną infekcji szyfrującej dane. OpenOffice.org do aktualizacji. 2. Doczyszczanie wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" HKLM-x32\...\Run: [Babylon Client] => C:\Program Files (x86)\Babylon\Babylon-Pro\Babylon.exe [3677776 2013-09-09] (Babylon Ltd.) Task: {DDBE3CB6-8FAE-4810-AFBF-415667F0169D} - System32\Tasks\{46C6ABD4-E1C3-45C8-A3DD-2C70A647D95F} => pcalua.exe -a E:\setup.exe -d E:\ SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-85080767-1146923941-1240108711-1000 -> DefaultScope {6122FB65-4D2C-4B3C-86AA-AA87401BAAB6} URL = SearchScopes: HKU\S-1-5-21-85080767-1146923941-1240108711-1000 -> {6122FB65-4D2C-4B3C-86AA-AA87401BAAB6} URL = SearchScopes: HKU\S-1-5-21-85080767-1146923941-1240108711-1000 -> {CE4271E0-E2E8-48F0-9025-E2EA3FBF4A1E} URL = BHO-x32: Babylon IE plugin -> {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} -> C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll [2013-09-09] (Babylon Ltd.) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Babylon C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Babylon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Babylon.lnk C:\Users\Public\Desktop\Babylon.lnk C:\Users\Ola\Desktop\Nowy folder (4)\*.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. I pousuwaj ręcznie skróty do dokumentów z poniższych ścieżek, to martwe skróty kierujące donikąd:

Potwierdź mi jeszcze, że nie widzisz "LuDaShi" w tym miejscu: prawy klik na Pasek zadań Windows > Paski narzędzi. Raczej nie powinno tam tego już być, bo skan rejestru nie zwrócił obecności klasy w rejestrze, która odpowiada za widoczność obiektu w tym menu. I jeśli nie ma już innych widocznych problemów, kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z poniższego folderu FRST i jego logi: C:\Users\Maru\Downloads\INSTALKI 2. Następnie zastosuj jeszcze DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK.

Usuwałam wszystko co było widać od tego adware w raportach, a skan rejestru nie wykrył nic powiązanego. Czy mam rozumieć, że obecnie widzisz gdzieś "LuDaShi"?

Chrome Setup widoczny - prawdopodobnie odbywała się autoaktualizacja przeglądarki, aczkolwiek w Twoim poprzednim logu już była widoczna jako zainstalowana najnowsza dostępna wersja 53.0.2785.116. Hitman wykrył tylko drobnicę. Pliki z sekcji "Suspicious files" do zignorowania, rekordy "Potential Unwanted Programs" już zostały zanaczone do usunięcia, więc jeszcze Cookies do skasowania.

Skrypt pomyślnie wykonany. Jeszcze skan rejestru wykrył szczątki infekcji. 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Wykonaj skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż kopie FRST64.exe (to fałszywy alarm), dostarcz log z wynikami.

Jeszcze nie zostały tu sprawdzone wszystkie komputery, ale jeśli potem się okaże że brak oznak infekcji na wszystkich, to możliwy ten scenariusz: I do aktualizacji był także Adobe Reader 9.1.2. Nie wycinaj linii całych (muszę widzieć kontekst wpisu), ale zamień w logu dane osób frazą "edytowane" dla sygnalizacji, że konkretny fragment jest zmanipulowany.

Wszystko zrobione. Lecimy z drobnymi poprawkami: 1. Otwórz Notatnik i wklej w nim: Task: {2506DEAF-2763-46BD-A3AB-7C4473BAC4F5} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-07-04] (AVAST Software) HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Maru\AppData\Local\Akamai\netsession_win.exe" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /f C:\Program Files\Common Files\AV\avast! Antivirus C:\Windows\System32\Tasks\AVAST Software D:\Program Files\MSUser.Default Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom FRST ponownie, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i przedstaw wynikowy SearchReg.txt. MSUser.Default;LuDaShi

Mam na myśli wyłączenie osłony web w opcjach. Ogólne wyłączenie ESET też można sprawdzić. Jeśli nie proszę o logi, to nie są potrzebne. Nic nie wniosą do sprawy - omawiane akcje nie mają żadnych śladów w logach i pokaże się dokładnie to samo co wcześniej. Przy okazji, dział pomocy doraźnej nie służy "do logów" tylko do diagnostyki infekcji (przy udziale m.in. logów), logi mogą być w dowolnym dziale, gdyż służą pomocą do różnych problemów, a nie tylko do szukania malware.

Problemem są zmodyfikowane skróty przeglądarki, ale jest więcej śladów adware. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędny Akamai: Adobe AIR, Adobe Media Player, Adobe Shockwave Player 12.2, Akamai NetSession Interface, Java 8 Update 73 (64-bit). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis Metric Collection SDK od niechcianej instalacji Lenovo. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2411900937-544243709-2355068264-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {755DB651-7812-46A9-8984-9F065DD7BC73} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit) R2 PSed; C:\Users\Maru\AppData\Roaming\psvc\psvc.exe [707624 2015-04-10] (Navigation Co., Ltd.) S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku Task: {1D3F7D8F-5483-4CAA-83FC-8B6291941D01} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\PROGRA~2\q4newsdp\k9x06.js Task: {365B531C-B2EA-45E6-95B2-E65C8BE70C90} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku Task: {A4D97C3E-9D8A-487B-AE29-94938DAAAEAA} - System32\Tasks\Driver Booster SkipUAC (Maru) => C:\Program Files (x86)\IObit\Driverfile:///C:/Users/Aretuza/AppData/Local/Temp/Addition-57.txt Booster\DriverBooster.exe Task: {B62C288B-8A6E-45EB-AE7E-1F29023BB208} - System32\Tasks\Bitdefender Update Product Data_A17FD818A96743FAB28AC221BEB4B2C8 => C:\Program Files\Bitdefender\Bitdefender 2015\bdproductdata.exe Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Aeria Ignite" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v app /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f C:\Program Files\McAfee C:\Program Files (x86)\IObit C:\Program Files (x86)\Lenovo C:\ProgramData\{322E44A7-0E30-4650-A200-645ED942CC5F}.tmp C:\ProgramData\hash.dat C:\ProgramData\AVAST Software C:\ProgramData\avastSWCUTemp C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\cosun C:\ProgramData\McAfee C:\ProgramData\ProductData C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Music, Photos and Videos C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Shadowbound C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Users\Maru\AppData\Local\Animiprujersp C:\Users\Maru\AppData\Local\Cmudomghikother C:\Users\Maru\AppData\Local\Lenovo C:\Users\Maru\AppData\Local\Mozilla C:\Users\Maru\AppData\Local\Tempfolder C:\Users\Maru\AppData\Local\UCBrowser C:\Users\Maru\AppData\Roaming\*.* C:\Users\Maru\AppData\Roaming\Geunfy C:\Users\Maru\AppData\Roaming\GowvePitpagf C:\Users\Maru\AppData\Roaming\Mozilla C:\Users\Maru\AppData\Roaming\OpenFM C:\Users\Maru\AppData\Roaming\psvc C:\Users\Maru\AppData\Roaming\Solvusoft C:\Users\Maru\AppData\Roaming\Microsoft\Done.dat C:\Users\Maru\AppData\Roaming\Microsoft\interface.dat C:\Users\Maru\AppData\Roaming\Microsoft\interface2.dat C:\Users\Maru\AppData\Roaming\Microsoft\jushed.jushed C:\Users\Maru\AppData\Roaming\Microsoft\patterns.ini C:\Users\Maru\AppData\Roaming\Microsoft\spoolsfirst C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器 (2).lnk C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Maru\TsGame C:\Users\Public\Thunder Network C:\WINDOWS\Joberphlusisp C:\WINDOWS\system32\roboot64.exe C:\WINDOWS\System32\Tasks\Lenovo Hosts: CMD: netsh advfirewall reset Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tak, ta włączona wtyczka to Adobe Flash (pomimo że jest pod nazwą Shockwave Flash). Potem ewentualnie możesz jeszcze aktywować OpenH264, Primetime, Widevine - te trzy to są natywne wtyczki integrowane w Firefox (w skanie FRST nigdy nie są widoczne). To moje spekulacje, były takie tematy na forum. Mógbyś sprawdzić czy wyłączenie tymczasowe osłony web zmienia postać rzeczy.

Skan rejestru dowoduje, że adware ładowało się jako zarejestrowane biblioteki drukarki oraz wykluczyło się samoistnie ze skanu Windows Defender. Zanim przejdę do usuwania, poproszę jeszcze o pełny wyciąg kluczy Print i Windows Defender. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Tak, bo usuwałam dwa skróty wyróżniające który profil Chrome jest inicjowany (fałszywy od adware lub nowy). Po usunięciu tych skrótów teraz możesz utworzyć nowy przypięty skrót.

Poprawki, jednak zostały jeszcze dwa niepożądane skróty Chrome. Na dodatek pojawiła się nowa niepożądana instalacja Youtube AdBlock, uruchamiana z ukrytych folderów "z kreskami", powielająca plik local64spl.dll w kilku folderach. ==================== Loaded Modules (Whitelisted) ============== 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Program Files (x86)\Youtube AdBlock\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Program Files (x86)\Youtube AdBlock_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\LocalLow\Youtube AdBlock\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\LocalLow\Youtube AdBlock_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\Local\Google\Chrome\User Data\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\Local\Google\Chrome\User Data_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\Local\Temp_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Windows\Temp_\local64spl.dll 1. W Google Chrome pojawił się nowy wpis adware (prawdopodobnie na skutek synchronizacji z serwerem Google). Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Thorn; C:\Users\boogie\AppData\Local\THORN\Thorn.exe [X] C:\_ C:\local64spl.dll C:\local64spl.dll.ini C:\Windows\Temp_ C:\Program Files (x86)\Youtube AdBlock C:\Program Files (x86)\Youtube AdBlock_ C:\Users\boogie\AppData\Local\Google\Chrome\User Data_ C:\Users\boogie\AppData\Local\Temp_ C:\Users\boogie\AppData\LocalLow\Youtube AdBlock C:\Users\boogie\AppData\LocalLow\Youtube AdBlock_ C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk C:\Users\boogie\Desktop\FOTO SLUB\tort\Creative Cloud Files.lnk C:\Users\boogie\Documents\!!!!ALARM NA SALI\Elmes GSM2 Configurator.lnk C:\Users\boogie\Documents\wykaz_polaczen_podstawowy_02-01-2015_27-01-2015.pdf — skrót.lnk Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. local64spl;AdBlock

Prawie wszystko zrobione, a profil Chrome wrócił do normy. Drobne poprawki, bo nie przetworzyły się dwa skróty szkodników mające nazwy z ekwiwalentami Unicode. Otwórz Notatnik i wklej w nim: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Łukasz\AppData\Local\Google\Chrome\User Data\gholdomphatcoperdom Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Software, nic nie wskazuje na problem infekcji. Jedyne co jest złapane w raportach, to fakt aktywnego przywracania sesji oraz błąd Firefox związany z plugin-container.exe: Error: (09/12/2016 08:54:43 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: plugin-container.exe, wersja: 48.0.2.6079, sygnatura czasowa: 0x57bd3628 Nazwa modułu powodującego błąd: mozglue.dll, wersja: 48.0.2.6079, sygnatura czasowa: 0x57bd2857 Kod wyjątku: 0x80000003 Przesunięcie błędu: 0x0000efe5 Identyfikator procesu powodującego błąd: 0x18c0 Godzina uruchomienia aplikacji powodującej błąd: 0x01d20d25d6013f1a Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe Ścieżka modułu powodującego błąd: C:\Program Files (x86)\Mozilla Firefox\mozglue.dll Identyfikator raportu: 347e7a46-ecc1-4749-9d66-44f740d2ac54 Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Jedyne co mi przychodzi do głowy na teraz, to redukcja ładowanych wtyczek. Zostały wykryte następujące wtyczki zewnętrzne: FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_22_0_0_209.dll [2016-08-15] () FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.50428.0\npctrl.dll [2016-04-27] ( Microsoft Corporation) FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWoW64\Macromed\Flash\NPSWF32_22_0_0_209.dll [2016-08-15] () FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\windows\SysWOW64\Adobe\Director\np32dsw_1217157.dll [2015-02-05] (Adobe Systems, Inc.) FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.68 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll [2015-04-21] (Intel Corporation) FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2015-04-21] (Intel Corporation) FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.50428.0\npctrl.dll [2016-04-27] ( Microsoft Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-29] (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-29] (Google Inc.) FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2016-06-30] (Adobe Systems Inc.) Na początek odinstaluj przez Panel sterowania Adobe Shockwave Player 12.1 (to starsza wersja, w większości przypadków nie jest też ten program potrzebny). Następnie w Firefox w Dodatkach w sekcji wtyczek wyłącz wszystkie wtyczki z wyjątkiem Adobe Flash. Przeładuj Firefox i sprawdź czy są zmiany. Być może wpływ ESET NOD32 Antivirus.