picasso

Ja tylko dodam, że przed formatem w logu FRST było widać wyraźnie znaki w czym rzecz, tzn. uszkodzenia plików Windows: S2 clr_optimization_v4.0.30319_64; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [124088 2014-04-11] () [Brak podpisu cyfrowego] S3 Fax; C:\Windows\system32\fxssvc.exe [689152 2010-11-21] () [Brak podpisu cyfrowego] S3 KtmRm; C:\Windows\system32\msdtckrm.dll [368640 2009-07-14] () [Brak podpisu cyfrowego] S3 lltdsvc; C:\Windows\System32\lltdsvc.dll [300032 2009-07-14] () [Brak podpisu cyfrowego] R2 lmab_device; C:\Windows\system32\LMabcoms.exe [1045504 2010-03-26] ( ) [Brak podpisu cyfrowego] R2 lmab_device; C:\Windows\SysWOW64\LMabcoms.exe [593920 2010-03-26] ( ) [Brak podpisu cyfrowego] S3 MSDTC; C:\Windows\System32\msdtc.exe [141824 2009-07-14] () [Brak podpisu cyfrowego] S3 MSiSCSI; C:\Windows\system32\iscsiexe.dll [156672 2009-07-14] () [Brak podpisu cyfrowego] S3 WebClient; C:\Windows\SysWOW64\webclnt.dll [206848 2015-07-01] () [Brak podpisu cyfrowego] Error: (09/05/2016 01:07:26 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa System szyfrowania plików (EFS) zakończyła działanie; wystąpił następujący błąd: System szyfrowania plików (EFS) nie jest prawidłową aplikacją systemu Win32. Error: (09/05/2016 01:07:25 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Autokonfiguracja sieci WLAN zależy od usługi Protokół uwierzytelniania rozszerzonego (EAP), której nie można uruchomić z powodu następującego błędu: Autokonfiguracja sieci WLAN nie jest prawidłową aplikacją systemu Win32. Error: (09/05/2016 01:07:25 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół uwierzytelniania rozszerzonego (EAP) zakończyła działanie; wystąpił następujący błąd: Protokół uwierzytelniania rozszerzonego (EAP) nie jest prawidłową aplikacją systemu Win32. Raport FRST jest bardzo limitowany, więc powyższe wyniki to pewnie była tylko część naruszeń, zakres rzeczywisty nieznany. Nie byłeś nawet w stanie uruchomić programów cmd potrzebnych do diagnozy zakresu naruszeń w plikach Windows (piję do sfc), a problem uszkodzonych plików osobistych nie podlegałby nawet temu procesowi, więc format był tu właściwie dobrym rozwiązaniem.

W raporcie nadal widać usługi/sterowniki powiązane z przekierowaniem oraz załadowany moduł vonetframeHelp.dll. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe Reader 9.5.0 - Polish, Facebook Video Calling 3.1.0.521. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 allwatfldsport; C:\Windows\system32\drivers\dxkzfilemgr.sys [140952 2009-07-14] () R2 TMKernel; C:\Windows\system32\drivers\TMKernel.sys [142368 2016-01-24] () R1 vonetframe; C:\Windows\system32\drivers\vonetframe.sys [932872 2016-08-12] () R2 VoVUpdateEngine; C:\Windows\SysWOW64\adnsvirtual.dll [414456 2009-07-14] () CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\WindowsTM C:\ProgramData\TMSetup0122.exe C:\ProgramData\winfirewall C:\Users\admin\AppData\Local\{1E5710D4-E07C-4E35-BD66-F3805C6476C0} C:\Users\admin\Desktop\Continue 7-Zip installation.lnk C:\Windows\vonetframeHelp.dll C:\Windows\system32\drivers\dxkzfilemgr.sys C:\Windows\system32\drivers\TMKernel.sys C:\Windows\system32\drivers\vonetframe.sys C:\Windows\SysWOW64\adnsvirtual.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Zostały dwa aktywne elementy od zainstalowanych programów adware oraz polityki Chrome. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware GameLauncher i HPReyos. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR Session Restore: Default -> [funkcja włączona] S3 cpuz139; \??\C:\Users\Biuro2\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\TEMP C:\Windows\msdownld.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z Shortcut. Dołącz też plik fixlog.txt.

1. Poprzedni skrypt tyczący naprawy Instrumentacji Windows do powtórzenia. Porównaj formatowanie w moim poście z formatowaniem Fixlog - naruszone wszystkie przejścia do nowej linii. Wklejony tekst do Notatnika musi mieć zachowane "entery". Przedstaw wynikowy Fixlog. 2. Jeśli chodzi o reinfekcję Brontok, skrypty z poprzednich operacji są już nieaktualne. I jeszcze mi się wydaje, że MBAM nie widzi wszystkich plików Brontok, gdyż uruchamiałeś aż dwa razy "aplikację-folder" już po skanie MBAM. W związku z tym poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Po tym zrób nowe raporty z FRST.

Zapewne chodzi o usługi CDPUserSvc_Losowy ciąg i/lub XBoxNetApi. W tym przypadku to normalne, to wada Windows 10 Wersja 1607. Przy tych usługach ja także mam ten komunikat, Microsoft po prostu nie wyasygnował opisu dla nich. Które konkretnie usługi, poza Buforem wydruku, mają ten defekt? Wszystkie jak leci? I jakie błędy zwracają kalendarz oraz kalkulator? Nazwy usług są skonfigurowane w rejestrze, by pobierać nazwy z plików. Skoro nadal coś jest nie tak z poborem nazw, to być może jest to jednak problem z dodatkowym naruszeniem plików. Ponadto, nadal w logu Addition widać odczyt na temat dysfunkcji Winmgmt (w konsekwencji podległa usługa Zapory też nie jest uruchomiona) oraz błędy Odmowa dostępu usług FDResPub i HomeGroupProvider. Na razie poproszę o: 1. Uruchomienie sprawdzania sfc /scannow i dostarczenie wynikowego przefiltrowanego raportu: KLIK. 2. Dostarczenie kopii rejestru SYSTEM. Zrzuć kopię rejestru programem RegBak i z kopii zapasowej wyłuskaj plik SYSTEM, spakuj do ZIP, shostuj gdzieś i na PW prześlij link. Analiza może potrwać i nie obiecuję szybkiego przeglądu.

Brakuje tu opisu konstrukcji pewnych funkcji, np. Ulubionych. Gdyby ktoś był zainteresowany, darmowe aplikacje wspomagające: - EdgeManage - Zewnętrzny menedżer Ulubionych. Obsługuje Edge w Wersji 1511 i wyżej, nie obsługuje Edge w RTM ("nie-bazodanowa" budowa). - EdgeSync - Alternatywny synchronizer Ulubionych między komputerami, który nie wymaga konta Microsoftu, ale nie działa automatycznie (wymagane okresowe ręczne uruchomienie procesu synchronizacji). - ViewESE - Narzędzie otwierające bazy danych w formacie ESE (czyli m.in. Ulubione w Edge w Wersji 1511 i wyżej) w trybie "tylko do odczytu".

Klucz MUI jest naruszony, całkowity brak klucza StringCacheSettings. Próba reperacji: 1. Otwórz Notatnik i wklej w nim: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MUI\StringCacheSettings] "StringCacheGeneration"=dword:0000001f EndRegedit: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Wyczyść Dzienniki zdarzeń: prawy klik na przycisk Start > Podgląd zdarzeń. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. 3. Zresetuj system, by zmiany rejestru z punktu 1 zostały wdrożone w pełni, oraz by nagrały się nowe ewentualne błędy w Dzienniku. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz pozytywne zmiany oraz czy coś jest jeszcze uszkodzone.

Temat zostanie przeniesiony do bardziej pasującego działu, tzn. Windows, problem nie wynika z infekcji. Ponadto, wątek został skupiony na usłudze Winmgmt, podczas gdy wszystkie usługi są zdefektowane, a nie tylko Winmgmt. A klucz Winmgmt jest identyczny w systemach Vista do Windows 10. Te objawy mogą produkować następujące defekty: naruszenia w kluczu HKLM\SYSTEM\CurrentControlSet\Control\MUI (StringCacheSettings) lub uszkodzone pliki systemowe z których jest pobierany opis. Drugi wariant wydaje się mniej prawdopodobny, skoro wszystkie usługi są w takim stanie. Dodatkowo, nie jest wykluczone złożenie przyczyn, bo w Dzienniku zdarzeń są błędy usług zwracające "Odmowę dostępu", co z kolei może być efektem uszkodzeń uprawnień w gałęzi SYSTEM. To wszystko może być nierozwiązywalne bez przywrócenia systemu do stanu firmowego (Reset PC). Wstępnie poproszę o więcej danych, by zweryfikować wariant numer 1. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\MUI /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Raporty z FRST zostały wykonane na złych ustawieniach, niezgodnie z opisem. Sekcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Masa zbędnych danych. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [192216 2016-08-09] (Malwarebytes) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-07-21] (Huorong Borui (Beijing) Technology Co., Ltd.) Task: {5E5C1B2B-7BDA-4716-BBD3-FC620F4951DB} - System32\Tasks\{CFF5B5C9-5465-4D05-8F1A-EC22F8CD8C98} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.15.0.102&LastError=404 Task: {9E9E5257-C292-4D1F-8892-CD112DA36514} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "EaseUS Cleanup" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "EaseUS EPM tray" /f C:\Program Files (x86)\Ploqdomzok C:\Program Files (x86)\s1d8202 C:\Program Files (x86)\sbqh C:\ProgramData\Malwarebytes C:\Users\Kamil\IP_Log_Data.js C:\Users\Kamil\AppData\Local\Driver_LOM_8161Present.flag C:\Users\Kamil\AppData\Roaming\EeIQKCHSHPgVUTdGdPR C:\Users\Kamil\AppData\Roaming\EeIQKCHSHPgVUTdGdPRYN.cmd C:\Users\Kamil\AppData\Roaming\KSAaDJSIHghQ C:\Users\Kamil\AppData\Roaming\ClassicShell C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Serious Sam HD - The Second Encounter C:\Users\Kamil\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\kz.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wg wytycznych tu z forum, ale bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Opis wskazuje, że w systemie pojawiła się infekcja szyfrująca dane Microsoft Decryptor (nowa wersja CryptXXX): KLIK, KLIK. W raportach FRST brak oznak aktywnej infekcji (pewnie się już automatycznie usunęła), widać tylko notatki ransom dodane przez infekcję szyfrującą dane (ich widoczność oznacza, że jest "po ptakach", procesy szyfrujące się ukończyły): 2016-07-27 23:07 - 2016-07-27 23:07 - 03276854 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.bmp 2016-07-27 23:07 - 2016-07-27 23:07 - 00238187 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.html 2016-07-27 23:07 - 2016-07-27 23:07 - 00001659 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.txt 2016-07-27 22:59 - 2016-07-27 22:59 - 03276854 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.bmp 2016-07-27 22:59 - 2016-07-27 22:59 - 00238187 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.html 2016-07-27 22:59 - 2016-07-27 22:59 - 00001659 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.txt 2016-07-27 22:45 - 2016-07-27 22:45 - 03276854 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.bmp 2016-07-27 22:45 - 2016-07-27 22:45 - 00238187 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.html 2016-07-27 22:45 - 2016-07-27 22:45 - 00001659 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.txt 2016-07-27 21:42 - 2016-07-27 21:42 - 03276854 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.bmp 2016-07-27 21:42 - 2016-07-27 21:42 - 00238187 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.html 2016-07-27 21:42 - 2016-07-27 21:42 - 00001659 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.txt Ta infekcja nie zmienia rozszerzenia zaszyfrowanych plików, więc na pierwszy rzut oka nie da się ocenić czy i które dane podlegały szyfrowaniu. Ale skoro są notatki ransom, to sugeruje że dane są zaszyfrowane. Sprawdź obojętny plik graficzny czy da się otworzyć. Jeśli nie, dane są zaszyfrowane. Nie ma możliwości odkodowania. Moja rola ewentualnie ograniczyłaby się tu do deinstalacji starych wersji programów (jedna z dróg infekcji szyfrujących dane) i usunięcia notatek ransom. To nie rozwiąże problemu zaszyfrowanych danych.

Problemem jest zadanie w Harmonogramie: Task: {981D2CFE-F50A-4955-A69D-1B956FABCEA5} - System32\Tasks\b0635940GamesterSpadicesV2 => Rundll32.exe NutletJuridic.dll,main 7 1 Działania do przeprowadzenia: 1. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą odinstaluj odpadek Google Update Helper. 2. To system z nietypowym układem kont i sieciowymi ścieżkami (domena?), więc ręcznie usuń pliki zlokalizowane w tej ścieżce: \\spplfapisp02\profiles\b0635940\AppDataW ... oraz folder odinstalowanego Firefoxa: \\spplfapisp02\profiles\b0635940\AppDataW\Mozilla Poszukaj też odpowiednika "AppData\Local" w ścieżce \\spplfapisp02\profiles\b0635940 i zlokalizowanego w nim folderu GamesterSpadices należącego do PriceFountain. Na wszelki wypadek w skrypcie poniżej załączę też "na oko" standardową ścieżkę lokalną. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2690E24D-3FAA-4DA2-A999-CB315CDF37D9} - System32\Tasks\{68096D73-F096-491E-99EE-D32E0E22A1C3} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar Task: {6CB26ACD-A878-4EA4-9B22-E7243A62F4A5} - System32\Tasks\{9B4B3B6B-C47C-4EC0-9B93-C10125AA605C} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar Task: {981D2CFE-F50A-4955-A69D-1B956FABCEA5} - System32\Tasks\b0635940GamesterSpadicesV2 => Rundll32.exe NutletJuridic.dll,main 7 1 U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [28272 2016-08-16] () S1 epp; \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\epp.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\...\Run: [] => [X] Startup: \\spplfapisp02\profiles\b0635940\AppDataW\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk [2016-08-16] HKU\S-1-5-21-1463549253-2724516119-1591476449-153512\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm HKU\S-1-5-21-1463549253-2724516119-1591476449-153512\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1463549253-2724516119-1591476449-153512 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1463549253-2724516119-1591476449-153512 -> {ADB0247F-BFFA-4782-98CE-6AB62EE9DF11} URL = DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Plumbytes Software C:\Program Files\SecureAge C:\Program Files (x86)\Google C:\Users\b0635940\AppData\Local\*.tmp.* C:\Users\b0635940\AppData\Local\file C:\Users\b0635940\AppData\Local\GamesterSpadices C:\Users\b0635940\AppData\Local\Setup1460559 C:\Windows\system32\scan.db C:\Windows\System32\drivers\TrueSight.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {089AD0BE-1190-4059-B584-4F3D4A062577} - System32\Tasks\{AC919971-A2DB-4E97-9C5F-5211BBEA5303} => pcalua.exe -a C:\Users\Wojtek\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=obw Task: {596ED08F-B464-478F-870E-41618E75D4D8} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-06-07] (AVAST Software) Task: {A5A23C51-8A27-4B40-A28E-B4D5A310572F} - System32\Tasks\Wojtek => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Wojtek /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== UWAGA HKU\S-1-5-21-735583447-693508571-541323270-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-735583447-693508571-541323270-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-735583447-693508571-541323270-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\.rdata C:\ProgramData\AVAST Software C:\Users\Wojtek\AppData\Local\file__0.localstorage C:\Users\Wojtek\AppData\Roaming\OEKJKLU C:\Windows\system32\FxsTmp C:\Windows\System32\Tasks\AVAST Software C:\Windows\System32\Tasks\SidebarExecute EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. GMER możemy sobie darować. Dołącz też plik fixlog.txt.

Owszem, to infekcja routera: Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Tcpip\..\Interfaces\{65770778-8535-47CE-8DB2-1F9421AD7170}: [DhcpNameServer] 80.243.191.66 8.8.8.8 Z czym konkretnie jest problem? Tu nie ma innego sposobu niż rekonfiguracja routera wg tych kroków:

Problemem są polityki ograniczeń wprowadzone przez adware. Ale to nie jedyny problem w systemie, dużo innych obiektów adware oraz niepożądany program YAC. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: AnySend, BorderlineInit, DNDownloader version 1.2, gupdate 2.00, OpenEnforcer, PC Data App, Software Version Updater, SystemIncrease, Voicify, WindowsMangerProtect20.0.0.722, WinZip, YAC(Yet Another Cleaner!). - Zbędne programy i stare wersje: Akamai NetSession Interface, Apple Software Update, HP Customer Participation Program 13.0, Java 8 Update 45, Obsługa programów Apple. Jeśli coś zwróci błąd, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {29b8df85-56af-474f-9022-e376793679f9}Gw64; C:\Windows\System32\drivers\{29b8df85-56af-474f-9022-e376793679f9}Gw64.sys [48792 2015-01-04] (StdLib) R1 {edf2e803-e64b-4078-9a9f-33672590ad18}Gw64; C:\Windows\System32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}Gw64.sys [48792 2015-01-01] (StdLib) R2 BirdkissP; C:\ProgramData\Birdkiss\Birdkiss.exe [418688 2016-06-07] () S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer275.exe [235776 2015-12-15] (MustangService) R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [744528 2016-05-16] (Winziper Pvt Ltd.) S2 browserServer_2015.11.03.11.04.21; C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S1 nethfdrv; \??\C:\Windows\system32\drivers\nethfdrv.sys [X] S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {32829499-6B83-4615-BE21-AEA2F940E2F2} - System32\Tasks\AmiUpdXp => C:\Users\Admin\AppData\Local\17719\Updater.exe [2014-10-07] () Task: {9E969D2C-C138-4B7E-83BB-108A84B37871} - System32\Tasks\{132BEDF7-6366-40D8-834D-A5FDC99C9F72} => C:\Users\Admin\Desktop\racer\racer.exe Task: {A5052673-1D3D-4780-AAA8-F854138D0F8C} - System32\Tasks\Superclean => c:\programdata\{30cb99e2-ac34-15bf-30cb-b99e2ac3678a}\hqghumeaylnlf.exe [2014-09-07] (Super PC Tools Ltd) Task: {ADABCD7E-7EC1-4F16-ADD8-B30866D53DB3} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {B588E03C-92C5-45E1-97FF-5EB243089558} - System32\Tasks\{6598B07A-7682-4568-9C94-BEB6C9B0554F} => C:\Users\Admin\Desktop\racer\racer.exe Task: {D588B0B5-7303-4615-AAB2-5812FD121C4D} - System32\Tasks\{D985C018-567F-4116-B6BE-506F228FE222} => C:\Users\Admin\Desktop\racer\racer.exe Task: {E2F7928F-41DD-486F-A3E8-46D801FBCCB7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {EE611302-E0F3-4F3F-BA1D-3F872D4B41E1} - System32\Tasks\{BAC18E7F-E75E-4989-B006-7786F38BB5C9} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Admin\AppData\Local\17719\Updater.exe Task: C:\Windows\Tasks\Superclean.job => c:\programdata\{30cb99e2-ac34-15bf-30cb-b99e2ac3678a}\hqghumeaylnlf.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\RunOnce: [network_adsafiliadosllhs_1] => "C:\Users\Admin\AppData\Local\Temp\\BI_RunOnce.exe" /initurl hxxp://sub.palatalized.info/init/Ie19xciPz/:uid:? /affid "-" /id "0" /name " " /uniqid Ie19xciPz /uuid 199C0C20-D7DA-11DD-99CA-10C37B4AA1F5 (dane wartości zawierają 82 znaków więcej). HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [2041363484] => "C:\Users\Admin\AppData\Local\Temp\tmp72BF.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [1054999252] => "C:\Users\Admin\AppData\Local\Temp\tmp72BF.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [1463939348] => "C:\Users\Admin\AppData\Local\Temp\tmpF315.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [1746088086] => "C:\Users\Admin\AppData\Local\Temp\tmpF315.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [Opos] => [X] Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookGamesNotifier.exe.lnk [2016-05-25] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-2212758980-1354942390-246654559-1000\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.nicesearches.com?type=hp&ts=1463405341&from=87640516&uid=wdcxwd5000aakx-08u6aa0_wd-wcc2ejlkjteskjtes&z=a47ca08d4e0c5a2c95aa316g6zdq9c8z4edwec2z3o","hxxp://www.mystartsearch.com/?type=hp&ts=1436965155&z=1f712d99055da7080ed5a4fg2z1c2q7tdq2w1geo8q&from=cmi&uid=WDCXWD800BEVS-07RST0_WD-WXE707C7041670416","hxxp://www.oursurfing.com/?type=hp&ts=1432270216&z=48b4fe0e95f4ddf6e0344f7g3z3c0o9odm6eeg0m8g&from=cmi&uid=WDCXWD800BEVS-07RST0_WD-WXE707C7041670416","hxxp://www.oursurfing.com/?type=hppp&ts=1432270246&z=cf23c3280e987c19348302cg0zcccoeo2m6e4oae7g&from=cmi&uid=WDCXWD800BEVS-07RST0_WD-WXE707C7041670416" CHR DefaultSearchURL: Default -> hxxp://super-warez.eu/page/2/ ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450940068&z=67858b8102269ba6c43edfeg8z7w3e7t3z6e2e6q9q&from=wpm07173&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1431068392&z=781e004cf3a3c109e398da1g2zdcegeecq8bdc8t8z&from=wpm05083&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431068392&z=781e004cf3a3c109e398da1g2zdcegeecq8bdc8t8z&from=wpm05083&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {2FCFD91F-EB04-41B7-BAA4-864D68C7BD5C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {38E70233-995A-40CA-A3E7-773F85BBEA64} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {7789280C-C846-40B3-B6FB-765DE67FF45F} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {A3AE6C6A-7921-4BFD-9D06-CB18BC99D42A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {DEA91A2C-A374-4F4E-AF0E-C8B2A3B08A78} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {EB14D1A1-CDA2-41E5-B8DB-F6673CBD0EEE} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: Brak nazwy -> {37bb6c9d-3f71-4a2f-aa9d-1a9c4c652c1c} -> Brak pliku BHO-x32: DNS Error Helper -> {9B6B03F1-16CF-4491-BBBB-E872802DD717} -> C:\ProgramData\DNSErrorHelper\bho.dll => Brak pliku FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\autoexec.bat C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\Birdkiss C:\Program Files (x86)\ghokswa Browser C:\Program Files (x86)\VSO C:\Program Files (x86)\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\{30cb99e2-ac34-15bf-30cb-b99e2ac3678a} C:\ProgramData\mntemp C:\ProgramData\Birdkiss C:\ProgramData\TempMoudleSet C:\ProgramData\VSO C:\ProgramData\Media Center Programs\gu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\egzamin2008_gim C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Glyph C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Admin\AppData\Local\Temp-log.txt C:\Users\Admin\AppData\Local\17719 C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Profile 3 C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{FBAB6548-FA92-4B6E-960E-7780B9F8EFEC} C:\Users\Admin\AppData\Roaming\Blowfish.dll C:\Users\Admin\AppData\Roaming\Flotsam.XRu C:\Users\Admin\AppData\Roaming\HodmanAnemone.a C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d83cf69024e31ee3\Adam - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Grzesiek - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Adam - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Grzesiek - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\DreamWorks Dragons Rise of Berk.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Admin\Desktop\Adam\Skype.lnk C:\Users\Admin\Desktop\dysk grześka\Fujitsu-Siemens-Amilo-LI-2727-xp-drivers\sterowniki\Skrót do sterowniki.lnk C:\Users\Admin\Downloads\policy_templates.zip C:\Users\Admin\Downloads\policy_templates (1).zip C:\Users\Admin\Downloads\sh-remover.exe C:\Users\Public\Documents\report.dat C:\Windows\System32\drivers\{29b8df85-56af-474f-9022-e376793679f9}Gw64.sys C:\Windows\System32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}Gw64.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Video DownloadHelper trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Video Downloader professional. To rozszerzenie wątpliwej reputacji, pochodzące ze stajni znanej z instalacji niepożądanych programów. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Instrukcje są dobierane indywidualnie, skrypty są niepowtarzalne i robione tylko i wyłącznie w oparciu o określone logi, nie "przerabia się" cudzych skryptów. Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj starszą wersję Java 8 Update 60 (64-bit) oraz zbędny downloader produktów Autodesk Akamai NetSession Interface. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty szczątek od AVG FMW 1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 avgsvc; C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe [1046952 2015-11-12] (AVG Technologies CZ, s.r.o.) R2 WdMan; C:\ProgramData\XwinpX\WFini.exe [541928 2016-08-15] (WFini LIMITED) R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [427256 2016-08-15] () S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] () Task: {0B2E6EC6-718D-47B6-8947-5DB9221EF925} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () Task: {19E9A5F7-5137-4A0D-A70D-E788B0676341} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\TXQQBrowser\Update\BD651F1F4029A2F22A40BEE7055BB369\Update\BrowserUpdate.exe [2016-04-25] (Tencent) Task: {3352E280-9264-4229-AEC3-E2AE29EDEB63} - System32\Tasks\{EBB87DF7-8C09-4EA5-878C-B76032DE54FC} => pcalua.exe -a C:\Users\admin\AppData\Local\Akamai\uninstall.exe Task: {CBBF56FA-BA14-4502-A150-C7251E712DC7} - System32\Tasks\{36CA5291-BB5C-43E6-B28E-903372C4C1D1} => pcalua.exe -a "C:\Program Files\AutoCAD 2009\acad.exe" -d "C:\Program Files\AutoCAD 2009\UserDataCache\" Task: {D8BF545C-249A-40FE-9466-CDBBB59F0220} - System32\Tasks\{1BA3E7C9-8F28-4763-8729-0777AE3D01F2} => pcalua.exe -a E:\Installation\hpdj111series\Core.exe -d E:\Installation\hpdj111series Task: {D9BCC7B8-B18E-4FE5-A79F-080F5A77011D} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 Edge HomeButtonPage: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080" CHR Session Restore: Default -> [funkcja włączona] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 FF HKLM\...\Firefox\Extensions: [pdfsam_enhanced_conv@pdfsam.com] - C:\Program Files\PDFsam Enhanced\resources\pdfsamenhancedfirefoxextension FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM-x32\...\Run: [V0770Mon.exe] => C:\WINDOWS\V0770Mon.exe HKLM-x32\...\Run: [AvgUi] => C:\Program Files (x86)\AVG\Framework\Common\avguix.exe [1136552 2015-11-12] (AVG Technologies CZ, s.r.o.) C:\Program Files (x86)\AVG C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\TXQQBrowser C:\Program Files (x86)\WinSaber C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinZipper C:\ProgramData\ChelfNotify C:\ProgramData\Nero C:\ProgramData\uckt C:\ProgramData\Uncheckit C:\ProgramData\XwinpX C:\Users\admin\AppData\Local\Unity C:\Users\admin\AppData\LocalLow\Unity C:\Users\admin\AppData\Roaming\eCyber C:\Users\admin\AppData\Roaming\Nero C:\Users\admin\AppData\Roaming\Uncheckit C:\Users\admin\AppData\Roaming\WinZiper C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Foxit Reader 5.0.lnk C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\EN_*.html C:\WINDOWS\SysWOW64\pl4.exe C:\WINDOWS\SysWOW64\_SSpm CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowane rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

To co notuje GMER to usługa Inteligentnego transferu w tle i nie wygląda to na infekcję per se. Podobny wątek: KLIK. W raportach FRST widać tylko crack aktywacyjny: KLIK. Crack ten będzie budził zastrzeżenia u określonych skanerów. R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-08-10] () [Brak podpisu cyfrowego] Task: {304D9080-AA43-4F06-8839-E4AFB8D7A9F5} - System32\Tasks\R@1n-KMS\Office16Mondo => wmic [Argument = path SoftwareLicensingProduct where (ID="9caabccb-61b1-4b4b-8bec-d10a3c3ac2ce") call Activate] 2016-08-10 18:16 - 2016-08-10 18:16 - 00000000 ____D C:\Windows\System32\Tasks\R@1n-KMS 2016-08-10 18:15 - 2016-08-10 18:15 - 00026112 _____ C:\Windows\KMS-R@1n.exe 2016-08-10 18:15 - 2016-08-10 18:15 - 00005120 _____ C:\Windows\KMS-R@1nHook.exe 2016-08-10 18:15 - 2016-08-10 18:15 - 00004096 _____ C:\Windows\KMS-R@1nHook.dll

Brak związku z infekcją, a jedyne co ewentualnie kojarzy mi się z blokadą instalacji od strony software, to zbyt przedsiębiorczy Comodo Internet Security, ale on był instalowany dopiero wczoraj, a problem jest "od kilku dni". Temat przesuwam na diagnostykę do działu Hardware.

Odgrzebałam stary temat przy sprzątaniu. To nie była infekcja routera, a próba edycji rejestru kompletnie niezasadna: O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87350B16-6591-49F4-8D72-7201A0867706}: DhcpNameServer = 7.254.254.254 To jest poprawny adres od instalacji Tunngle: W raporcie FRST Addition: Tunngle beta (HKLM-x32\...\Tunngle beta_is1) (Version: - Tunngle.net GmbH) Nie wystarczy tylko sprawdzać IP na Whois i ferować wyrok na podstawie niepolskiej lokalizacji, należy też szukać go na Google. Temat sprzed dwóch lat. Zamykam.

Odgrzebałam stary temat przy sprzątaniu. To nie była infekcja routera: Tcpip\..\Interfaces\{5F353FB7-2B12-4087-ADFF-36E25A752653}: [DhcpNameServer] 7.254.254.254 To jest poprawny adres od instalacji Tunngle: W raporcie FRST Addition: Tunngle (HKLM-x32\...\Tunngle_is1) (Version: 5.2 - Tunngle.net GmbH) Nie wystarczy tylko sprawdzać IP na Whois i ferować wyrok na podstawie niepolskiej lokalizacji, należy też szukać go na Google. Temat sprzed roku, więc nieaktualny. Zamykam.

Brak trzeciego obowiązkowego pliku FRST Shortcut. Uzupełnij.

Akcja pomyślnie wykonana. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Masowa infekcja adware systemu, w tym infekcja DNS i WMI. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP: Amazon 1Button App, Body Text Feathering, ContentPush, GameLauncher, HPSewil, shopperz, trotux - Uninstall (2 pozycje), TTWiFi 1.0.0.1. Przy okazji odinstaluj też zbędny słaby skaner Trojan Remover 6.9. - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner i sprawdź czy jest plik deinstalacyjny. Jeśli jest, z prawokliku "Uruchom jako administrator". Ale pliku może nie być, bo próbował go załatwić ESET: C:\Program Files (x86)\MPC Cleaner\Uninstall.exe odmiana zagrożenia Win32/MPCCleaner.A potencjalnie niepożądana aplikacja wyleczony przez usunięcie Niezależnie od tego czy będą jakieś błędy (wejścia wyglądają na częściowo zdewastowane), kontynuuj do kolejnych punktów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: WMI_ActiveScriptEventConsumer_ASEC: R2 HPSewil Service; C:\Users\edward\AppData\Roaming\HPSewil\HPSewilSrv2.exe [1047040 2016-08-12] (GrassWine Brick) [brak podpisu cyfrowego] R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-08-12] (DotC United Inc) R2 nyveqixozbt; C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3\knscF77A.tmp [276480 2016-08-12] () [brak podpisu cyfrowego] R2 SoEasySvc; C:\Program Files (x86)\SoEasySvc\SoEasySvc.exe [214168 2016-08-12] (TODO: ) R2 zigipyro; C:\Users\edward\AppData\Local\0152F095-1471041237-E411-85C7-F0761C8993C3\qnst96BF.tmp [158720 2015-12-26] () [brak podpisu cyfrowego] S2 ProntSpooler; "C:\Users\edward\AppData\Local\Apps\2.0\abril.exe" [X] R1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] Task: {22289A4E-5E16-4EA8-8EC3-AE82162DDC2E} - System32\Tasks\bku2198616922750165 => Rundll32.exe "C:\Users\edward\AppData\Local\Temp\ZQMOKRVGPC_513140\BBYqZMh.DLL",#62 o6se6f8ny9z83aq Task: {73AA45EC-F7C3-41B3-BDB7-2B711973C852} - System32\Tasks\b2929b72a96a471893ecaa9c51368bae => C:\Program Files (x86)\jiiB5D1\gnpBBEB.bat [2016-08-12] () Task: {DE446CBD-E648-4042-ABEE-9A5407483394} - System32\Tasks\Ghmersevversp Monitor => C:\Program Files (x86)\Tafleclwther\ghmMntVevary.exe [2016-08-12] () Task: C:\Windows\Tasks\bku2198616922750165.job => C:\Users\edward\AppData\Local\Temp\ZQMOKRVGPC_513140\BBYqZMh.DLL ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\edward\AppData\Local\Microsoft\Windows\INetCookies\zjiry.dll [370176 2016-08-12] () HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\...\Run: [] => [X] HKLM-x32\...\RunOnce: [update] => C:\Users\edward\AppData\Roaming\ASPackage\ASPackage.exe /runonce HKU\S-1-5-21-2574603618-2478407198-2579358465-1001\...\Run: [seviler] => C:\Users\edward\AppData\Roaming\GameLauncher\Seviler\Seviler.exe [604672 2016-08-11] () Tcpip\..\Interfaces\{12F32C02-C6AE-454B-AE7C-47E8A1595051}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{144AFE9A-FC9D-4AC7-A4B2-21EDFFEAEC28}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{1F9D6780-BEED-435D-8BDB-BDC102B3A669}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{72477396-7FBE-4FA5-BD9A-8E3856AA979B}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8718928D-CBEB-45EA-A621-800A9249001D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8E5AE552-CD48-4D48-8476-D09B563469F7}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{A29D54B5-13A4-4B8E-9B30-DD4F6C02B118}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{bbed3e08-0b41-11e3-8249-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{D6A2DEAF-0B7D-4A00-B9EA-877187A98F92}: [NameServer] 104.197.191.4 ShortcutWithArgument: C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Yhid C:\Program Files\YhidUn C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3 C:\Program Files (x86)\ContentPush C:\Program Files (x86)\jiiB5D1 C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\SoEasySvc C:\Program Files (x86)\Tafleclwther C:\Program Files (x86)\Tafleclwther_ C:\Program Files (x86)\ttwifi C:\Program Files (x86)\WeatherChickn C:\ProgramData\*.bat C:\ProgramData\AVAST Software C:\ProgramData\WindowsMsg C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi C:\Users\edward\AppData\Local\0152F095-1471041237-E411-85C7-F0761C8993C3 C:\Users\edward\AppData\Local\comapyreawecultetesp C:\Users\edward\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\edward\AppData\Local\Tempfolder C:\Users\edward\AppData\Local\Microsoft\Windows\INetCookies\zjiry.dll C:\Users\edward\AppData\Roaming\Installer.dat C:\Users\edward\AppData\Roaming\InstallationConfiguration.xml C:\Users\edward\AppData\Roaming\ContentPush C:\Users\edward\AppData\Roaming\GameLauncher C:\Users\edward\AppData\Roaming\Geunfy C:\Users\edward\AppData\Roaming\GowvePitpagf C:\Users\edward\AppData\Roaming\HPSewil C:\Users\edward\AppData\Roaming\MCorp C:\Users\edward\AppData\Roaming\UPUpdata C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*oo*le*.lnk C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

SpyHunter to program niepożądany, wątpliwej reputacji! Jeśli rzecz o zodiac-game.info, problemem jest wpis Harmonogramu przeładowujący modyfikację rejestru w kluczu Run. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj McAfee Security Scan Plus (sponsor Adobe Flash) oraz SpyHunter v4.22.8.4668. Następnie, niezależnie od tego czy standardowa deinstalacja SpyHunter się powiedzie, zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-120819078-4178527670-4014732985-1000\...\Run: [Lyssa] => explorer.exe hxxp://kb-ribaki.org Task: {30E5DDA7-28E8-490B-A6F0-05C66329315A} - System32\Tasks\Lyssa => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Lyssa /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" BHO: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku BHO-x32: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku C:\Users\Lyssa\Downloads\*-dp*.exe C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Jeszcze drobna poprawka na odpadki pozostawione po deinstalacji programów Facebook i Java. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\...\Run: [Facebook Update] => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2016-06-10] (Facebook Inc.) Task: {1FEC8C1B-496F-4354-9073-6EC089766655} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000UA => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe [2016-06-10] (Facebook Inc.) Task: {704DBDE0-02CC-489B-B88D-91BE65AE80C1} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000Core => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe [2016-06-10] (Facebook Inc.) Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000Core.job => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000UA.job => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe C:\Program Files\Java C:\Program Files (x86)\Java C:\Users\pcc\AppData\Local\Facebook Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Ostatnie kroki. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z folderu D:\Nowy folder. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko. I wielkie dzięki za ewentualne wsparcie!