picasso

Wbrew pozorom to bardzo prymitywna infekcja, działa w oparciu o dwa wpisy (Harmonogram zadań + wpis Run). Kombinowałeś sporo, wliczając uruchomienie ComboFix, co było za ciężkim zadaniem w stosunku do wagi infekcji. Poza tym, wygląda na to że uruchamiałeś jakiś skrypt do FRST (pewnie pod cudzy przypadek) i to aż 4 razy, bo są nagrane 4 punkty Przywracania pochodzące z komendy w skryptach FRST... Skrypty z innych tematów nie będą działać, a można też uszkodzić sobie system. Działania do przeprowadzenia: 1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 10 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3502765815-1476509878-803485157-1000\...\Run: [mentol] => explorer.exe hxxp://kb-ribaki.org <===== ATTENTION Task: {0806F485-DF2B-4BAD-9389-EF7AA8F707FE} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-08-10] (AVAST Software) Task: {237D854E-51D4-47A6-A7D2-12C6EEC9D6B8} - \mentol -> No File <==== ATTENTION Task: {73593C5D-0497-4BE6-8BE6-60741742347E} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-3502765815-1476509878-803485157-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-3502765815-1476509878-803485157-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3502765815-1476509878-803485157-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={1707ADCF-42A9-4ACD-9C05-7B80B920D146}&mid=3015cc824ed947cc88e46d16b21eab62-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0516pi&pr=fr&d=2016-08-02%2018:29:24&v=4.3.2.18&pid=wtu&sg=&sap=hp CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=sy&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59 CHR StartupUrls: Default -> "hxxp://search.conduit.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M486E8DD3-338A-4D2F-8481-5A54586888CF&SearchSource=55&CUI=&UM=5&UP=SP5B546ED7-912D-4C4B-9B30-ED04FEBB673E&SSPV=","hxxp://www.oursurfing.com/?type=hp&ts=1435597040&z=af967304df28f82b50eaf49gbz7c5wcwbtbmaeaccb&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59","hxxp://www.oursurfing.com/?type=hppp&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59" DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^FAH.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Update Notifier.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Windows\pss\FAH.lnk.CommonStartup C:\Windows\pss\Update Notifier.lnk.CommonStartup C:\Windows\system32\Drivers\MBAMSwissArmy.sys C:\Windows\system32\Drivers\mbamchameleon.sys C:\Windows\SysWOW64\prod-pgm.vpx C:\Windows\SysWOW64\servers.def C:\Windows\SysWOW64\servers.def.lkg C:\Windows\SysWOW64\servers.def.vpx RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\$AVG RemoveDirectory: C:\SUPERDelete RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Program Files (x86)\Windows Loader RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Users\Default\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Users\mentol\AppData\Local\Avg RemoveDirectory: C:\Users\mentol\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\mentol\AppData\Local\MFAData RemoveDirectory: C:\Users\mentol\AppData\Roaming\AVG RemoveDirectory: C:\Users\mentol\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z preferencji adware: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z brakującym Shortcut. Dołącz też plik fixlog.txt.

Wg Fixlog wykonała się tylko pierwsza komenda zabijania procesów i nic poza tym. Spróbuj wykonać skrypt ograniczony do: swMSM (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) CustomCLSID: HKU\S-1-5-21-1644491937-117609710-682003330-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Górski\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.) CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\Mozilla C:\Documents and Settings\Górski\Ulubione\GG dysk*.lnk C:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\GG C:\Program Files\Mozilla Firefox C:\Program Files\Common Files\Adobe Skrypt ten odkryje też wejście swMSM na liście zainstalowanych. Spróbuj normalnie odinstalować ten odpadek.

Co masz na myśli z usuwaniem "FRST i jego logów"? To już wykonał DelFix. Natomiast mnie chodziło tylko o ten wynik ze skanu Hitman: C:\Users\Fig\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2ANTUED9\FRST64[1].exe

Wszystko wykonane, czyli teraz do usunięcia kolejne szczątki, w tym Firefox i GG Dysk. 1. Uruchom Program Install and Uninstall Troubleshooter. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis po deinstalacji Adobe swMSM > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) CustomCLSID: HKU\S-1-5-21-1644491937-117609710-682003330-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Górski\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.) CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\Mozilla C:\Documents and Settings\Górski\Ulubione\GG dysk*.lnk C:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\GG C:\Program Files\Mozilla Firefox C:\Program Files\Common Files\Adobe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić restart. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne. Foldery GG Dysku z C:\Documents and Settings\Górski dokasuj już ręcznie (po sprawdzeniu czy nie ma w nich nic do zachowania).

Strona usunwirusa.pl to niewiarygodne źródło informacji! To jedna z owych stron nastawionych na wmanipulowanie w instalację lewych programów jako "cudownego środka" na wszystkie infekcje jak leci. Z tego co widzę wcześniej był to SpyHunter, teraz kolejne niepożądane softy ReImage oraz Plumbytes Anti-Malware, a przy okazji wycierają sobie gębę MBAM. Tego typu strony, a jest ich znacznie więcej, to prawdziwa plaga Google. Są one wysoko pozycjonowane i użytkownik szukając informacji o usuwaniu infekcji niestety trafia na nie w pierwszej kolejności. To jeden z powodów dla którego w co drugim logu tutaj jest widoczny SpyHunter lub ślady po jego pobycie. Ze Skype nie wiem o co chodzi, w jakich warunkach samodzielnie się uruchamiał. Niemniej ten Bitcoin miner to mi jednak wygląda na zainstalowany ręcznie, z jakiegoś "setupu". Nawet znalazłam w jednym z wirtualnych sandboxów taki plik aplikujący podobną wersję (tylko inna ścieżka dostępu, nie folder AVAST): KLIK. Tak, wyniki PunkBuster to typowy widok w skanie Hitman i do zignorowania. Wykryta kopia FRST w Tymczasowych plikach internetowych to także fałszywy alarm, ale to można dla porządku usunąć, podobnie jak drobny wynik związany z ciastkami. DelFix wykonał zadanie, skasuj z dysku plik C:\delfix.txt. To wszystko.

Jeśli chodzi o te urządzenia, to ja już usuwałam powiązany sterownik w skrypcie FRST (wyglądał mi na odpadek, jakoś nie widzę skorelowanego oprogramowania na liście): R3 tapoas; C:\Windows\System32\drivers\tapoas.sys [30720 2012-07-15] (The OpenVPN Project) W związku z tym co widać w menedżerze, spróbuj odinstalować wszystkie widoczne urządzenia "TAP" + restart systemu.

Skrypt FRST pomyślnie wykonany. Na koniec usuń FRST i jego logi z podfolderu na Pulpicie. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK. Wielkie dzięki!

Tak, oczywiście standardowe kroki końcowe. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z folderu D:\Logi. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

Dostarczony raport potwierdza brak widocznych oznak infekcji. Jak mówiłam, przy braku danych pierwotnych mogę tylko spekulować że prawdopodobnie wystąpił jakiś fałszywy alarm. Możesz wykonać poboczne działania: 1. Odinstaluj Dropbox (wkrótce kompletnie przestanie działać na XP) oraz NVIDIA ForceWare Network Access Manager (problematyczny stary firewall nVidia). Za to do aktualizacji te programy: Adobe Flash Player 17 ActiveX, Adobe Reader XI (11.0.08), Internet Explorer 6, Java 8 Update 31. Wszystko jest w przyklejonym: KLIK. 2. Skrypt "kosmetyczny" usuwający szczątki, niepodpisane cyfrowo rozszerzenia i inne drobnostki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] HKLM\...\Run: [nTrayFw] => C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe SearchScopes: HKU\S-1-5-21-1957994488-1450960922-1417001333-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM\...\Firefox\Extensions: [pdf_architect_2_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 2\resources\pdfarchitect2firefoxextension FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR HKLM\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-05-03] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Licenses C:\WINDOWS\*.tmp C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Skutki uboczne to redukcja aktualizacji, widoczne zdegradowanie zintegrowanej przeglądarki Internet Explorer do wersji 6, o czym już wyżej wspominam. Po instalacji IE8 należy uruchomić Windows Update i uzupełnić resztę. Druga sprawa, to seria błędów które nie wiem do czego podpiąć, czy to aby nie są też skutki tego "nadpisania" XP, oraz czy conajmniej błędy BITS są nadal aktualne: ==================== Punkty Przywracania systemu ========================= Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. Dziennik System: ============= Error: (08/08/2016 08:54:53 PM) (Source: DCOM) (EventID: 10005) (User: MISIEK) Description: Model DCOM odebrał błąd „%%1083 = Program wykonywalny, w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi.” podczas próby uruchomienia usługi BITS z argumentami „” w celu uruchomienia serwera: {4991D34B-80A1-4291-83B6-3328366B9097}

Podobnie jak w przypadku reszty tematów ze zgłoszeniami tej planszy, nie widać tu żadnych oznak infekcji. W tej sytuacji nie widzę innej drogi, niż próba wymuszenia zmiany IP. Poboczne działania, tzn. usunięcie starych programów, wpisów odpadkowych oraz czyszczenie Tempów. 1. Deinstalacje: - Odinstaluj stare niebezpieczne wersje (ryzyko infekcji szyfrującej dane): Adobe Flash Player 11 Plugin, Adobe Flash Player 14 ActiveX, Adobe Reader X (10.1.11), Adobe Shockwave Player 11.6, Java™ 6 Update 31. Najnowsze wersje linkowane w przyklejonym, ale przeczytaj wątek o ograniczaniu wsparcia dla XP: KLIK. - Należy wymienić Avast i Firefox najnowszymi wersjami. - Możesz też odinstalować zbędne programy Bonjour, HP Customer Participation Program 9.0, Pando Media Booster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [42272 2014-04-27] (AVG Technologies) S3 USBAAPL; System32\Drivers\usbaapl.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-1644491937-117609710-682003330-1003\...\Run: [Flvto Youtube Downloader] => "D:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe" /minimize Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF HKLM\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files\Hewlett-Packard\SmartPrint\QPExtension => nie znaleziono FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2014-05-26] SearchScopes: HKU\S-1-5-21-1644491937-117609710-682003330-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Górski^Menu Start^Programy^Autostart^Rejestracja FIFA 11.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesHelper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaSuite.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screenSHU DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F52E62F6-6FF8-409F-A76E-9107918104E4} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{ADEC9BF6-1CAF-44F8-81A8-CA81B9805690} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{92C012C9-23E5-40D6-8982-DF9039022E03} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{852A6264-8428-4F64-9BFC-DD3AE490243A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3CD7488D-4A0B-4F10-BC65-6B6818B32C8E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3CD7488D-4A0B-4F10-BC65-6B6818B32C8E} C:\Documents and Settings\All Users\Menu Start\Programy\Minecraft PC Gamer Demo C:\Documents and Settings\Górski\Dane aplikacji\PnkBstrK.sys C:\Documents and Settings\Górski\Dane aplikacji\Opera C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\Górski\Menu Start\Programy\YaTQA.lnk C:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\Opera C:\Program Files\Opera C:\Program Files\Skype C:\Program Files\Common Files\WireHelpSvc.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\Rejestracja FIFA 11.lnkStartup C:\WINDOWS\system32\drivers\avgtpx86.sys Folder: C:\start CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. I jeszcze pytanie czy można usunąć (martwy już) GG dysk. Jeśli coś w nim jest potrzebnego, przekopiuj gdzieś, a potem dokasuję jego elementy zrejestru i dysku.

Partycja Recovery z natury jest ukryta, więc tam raczej nie spodziewałabym się ingerencji. Niemniej Recovery zrzuci kompletnie nieaktualny system, a Ty już rozpocząłeś aktualizacje (zostaną oczywiście zdegradowane przez Recovery). Aktualizacje powinny nadpisać większość plików systemu, co częściowo rozwiąże problem nieznanych ewentualnych naruszeń w plikach Windows. Gdyby jednak jakiś program wtórny ujawnił problemy z uruchomieniem, wtedy należy go przeinstalować.

Brak widocznych obiektów infekcji które mogłyby być powiązane z efektem (na moment mnie zastanowiła dziwna lokalizacja wpisu Office Timeline Performance Helper, oraz 32-bitowa instancja svchost.exe w procesach). Tylko instalacja adware/PUP, tzn. sponsorowany Bing, ale to nie ma związku. Bingiem zajmę się potem. Z raportów nic dla mnie nie wynika, wg raportów komponenty MSSE działają, a program jest zarejestrowany w Centrum i w momencie wykonywania skanu FRST jego status był oznaczony jako "Włączony". W Dzienniku zdarzeń widać tylko następujący błąd powiązany z programem: Dziennik System: ============= Error: (07/31/2016 10:04:58 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: ) Description: Produkt %ZARZĄDZANIE NT60 napotkał błąd podczas próby aktualizacji podpisów. Nowa wersja podpisu: Poprzednia wersja podpisu: 0.0.0.0 Źródło aktualizacji: %ZARZĄDZANIE NT51 Etap aktualizacji: 4.9.0218.00 Ścieżka źródła: 4.9.0218.01 Typ podpisu: %ZARZĄDZANIE NT602 Typ aktualizacji: %ZARZĄDZANIE NT604 Użytkownik: ZARZĄDZANIE NT\USŁUGA SIECIOWA Bieżąca wersja aparatu: %ZARZĄDZANIE NT605 Poprzednia wersja aparatu: %ZARZĄDZANIE NT606 Kod błędu: %ZARZĄDZANIE NT607 Opis błędu: %ZARZĄDZANIE NT608 Może na początek wykonaj sprawdzanie poprawności plików Windows. Uruchom sfc /scannow i dostarcz przefiltrowany raport: KLIK.

Temat przenoszę do stosowniejszego działu, nie jest to przecież powiązane wcale z infekcją. W raportach FRST mało co widać od Arcabit, drobne autoryzacje w Zaporze Windows, kilka obiektów na dysku oraz załadowany moduł integrujący Arcabit z eksploratorem, który najprawdopodobniej jest odpowiedzialny za obecność wpisów menu kontekstowego: ==================== Załadowane moduły (filtrowane) ============== 2016-07-01 22:50 - 2016-07-01 22:50 - 00225368 _____ () D:\Program Files D\Antywir\bin\arcashl.dll 1. Rozpocznijmy od derejestracji widocznego wyżej modułu arcashl.dll, komenda zostanie załączona w skrypcie FRST, wraz z innymi dodatkowymi operacjami. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: netsh firewall reset CMD: regsvr32 /u /s "D:\Program Files D\Antywir\bin\arcashl.dll" FF user.js: detected! => C:\Documents and Settings\Mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\vep30pal.default-1463316975000\user.js [2016-06-12] FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff => nie znaleziono FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA DeleteKey: HKLM\SOFTWARE\Google C:\Documents and Settings\All Users\Arcabit C:\Documents and Settings\Mariusz\Dane aplikacji\*.* C:\Program Files\Mozilla Firefox\extensions D:\Program Files D\Antywir C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\arcafsav.sys C:\WINDOWS\system32\Drivers\arcawfp.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Jeśli rozszerzenie menu kontekstowego nie zniknie po w/w operacji: 2. Sfery rozszerzeń kontekstowych FRST w chwili obecnej w ogóle nie skanuje. Potrzebne narzędzie skanujące rozszerzenia powłoki tego typu. Zrób raport z Autoruns, o ile nadal działa na XP, bo teoretycznie już brak wsparcia. Jeśli program się nie uruchomi na XP, zamiennie wykonaj log z Silent Runners.

Temat przenoszę do działu Windows. Brak oznak infekcji. W raportach nie widać też żadnych konkretów sugerujących trop. Jedyne co się rzuca w oczy, to: 1. Poniższy powtarzający się błąd usługi Karta inteligentna: Dziennik System: ============= Error: (07/25/2016 08:49:51 AM) (Source: SCardSvr) (EventID: 610) (User: ) Description: Żądanie nie jest obsługiwane.OMNIKEY CardMan 6121 0GET_ATTRIBUTE07 a0 07 00 ... oraz seria innych błędów kategorii Aplikacja które nie wiem jak podpasować. 2. Instalacja ESET Endpoint Antivirus (najbardziej rozbudowany element wtórny i oprogramowanie inwazyjne). Sugeruję sprawdzić czy to nie on jest aby przyczyną opisywanych zachowań. PS. Potem ewentualnie do czyszczenia wpisy szczątkowe, na razie się tym nie zajmuję, gdyż nie ma to znaczenia w kontekście problemu.

Temat przenoszę do działu Windows, to nie jest problem infekcji. Z raportów nie wynika nic konkretnego, aczkolwiek jest tu skomasowanie oprogramowania zabezpieczającego, tzn. dwie rozgałęzione instalacje Avast Internet Security + Trusteer Endpoint Protection, a także "boostery". Może zacznij od deinstalacji Trusteer i reszty dodanego bagażu Advanced SystemCare 9, Driver Booster 3.3, Superb Game Boost 3.0, Surfing Protection, System Mechanic. Po tym zrób nowe raporty FRST dokumentujące zmiany i wypowiedz się czy jest poprawa. Te "boostery" to w większości przypadków zbędne instalacje, niekontrolowane procesy optymalizacyjne, aplikacje wątpliwej reputacji. YAC to program którego należy unikać! Więcej informacji na spodzie listy darmowych programów: KLIK.

Temat przenoszę do działu Windows, nie wygląda to wcale na problem infekcji. Z raportów nic też nie wynika konkretnego, jedyne co mi się kojarzy "na oko" z obniżeniem responsywności to instalacja Kaspersky (część komponentów odświeżana w bliskim zakresie czasowym). Mam pytanie, czy po przejściu na Tryb awaryjny z obsługą sieci występują podobne problemy i przynajmniej część z wyliczanych usług może się uruchomić?

Temat przenoszę do działu Windows, to nie jest problem infekcji. Prawdopodobnie obciążenie generuje usługa Windows Update, to znany i "standardowy" problem już od dłuższego czasu. Od końca 2015 są problemy z usługą na starszych systemach, skan aktualizacji trwa znacznie dłużej oraz obciąża zasoby. Problem ponoć rozwiązuje aktualizacja KB3161608 (aplikuje nową wersję Windows Update Client), którą zastąpiono nowszą aktualizacją KB3172605 (zawiera wszystko co poprzednia plus nowe fiksy).

Temat przenoszę do właściwego działu Windows. Problem już rozwiązany, tylko zaznaczę, że ustawienia UAC były widoczne w raporcie: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0) Domyślne ustawienia to: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) PS. W spoilerze drobne działania poboczne polegające m.in. na usunięciu wpisów szczątkowych (w tym od adware) oraz czyszczeniu Tempów.

Co z częścią "JEŚLI POWYŻSZE NIE POPRAWI SYTUACJI"? Czy próbowałeś tych kroków?

W raportach nie widać oznak aktywnej infekcji Ramnit/Nimnul, poza poniszymi folderami na dysku, które prawdopodobnie były częścią infekcji. 2016-08-01 19:20 - 2016-08-02 12:56 - 00000000 ____D C:\Program Files\goxskaen 2016-07-09 15:42 - 2016-08-03 19:57 - 00000000 ____D C:\Users\Artur\goxskaen Ale jest to sprawdzanie zbyt powierzchowne, by wystawić opinię, że wszelkie ślady infekcji (oraz szkody) zostały zlikwidowane. W tym kontekście bardziej należy wierzyć w wyniki skanów KVRT i Dr. Web. Niemniej niewiadomy zakres infekcji przed leczeniem, niewiadomy poziom naprawy (np. które pliki Windows i programów były zainfekowane i czy aby nie zostały tym procesem uszkodzone). Jeśli wyniki skanów były okropnie rozległe, lepiej byłoby i tak zrobić format dysku po infekcji w wykonywalnych. Druga sprawa, system Vista w fatalnym stanie aktualizacji, łysa edycja, brak Service Packów i wielu innych aktualizacji: Platform: Microsoft® Windows Vista™ Home Basic (X86) Język: Polski (Polska) Internet Explorer Wersja 7 (Domyślna przeglądarka: Opera) Koniecznie do nadrobienia. W przyklejonym były linkowane tylko najgrubsze paczki SP, ale obecnie Microsoft już to usunął. Niezależnie od tego i tak będzie wymagana mozolna wielokrotna runda z Windows Update, by wszystko uzupełnić.

Wszystko wygląda na usunięte, oczywiście w cześci pokrytej przez raport FRST, co jest tylko wycinkiem obrazu. Konieczny jest porządny skan programem zdolnym wykrywać te replikacje plików Brontok w folderach. Dodatkowo, raport FSS wykazuje naruszenia usługi Instrumentacji Windows. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Instrumentacja zarządzania Windows" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,04,00,03,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum] "0"="Root\\LEGACY_WINMGMT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 EndRegedit: Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart Windows. Przedstaw wynikowy fixlog.txt. 2. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST z kwarantanną zawierającą pliki Brontok. Następnie wykonaj pełny skan (a nie "szybki") za pomocą Malwarebytes Anti-Malware i przedstaw wynikowy raport.

Z poprzednim kompem nie skończyliśmy, dostarcz logi końcowe. A tak w ogóle to dopiero teraz do mnie dotarło, że od początku posługujesz się archaiczną wersją FRST Version:06-08-2015. Od tego czasu była kupa aktualizacji i poprawek, kilkadziesiąt wersji co najmniej... Proszę pobierz najnowszy FRST z przyklejonego (KLIK) i zrób świeży zestaw logów z każdego komputera.

Nie podałeś wyników ze skanera Baidu pokazujących jak konkretnie ta detekcja wyglądała. Jedyne co mogę stwierdzić na podstawie raportów, to że nie było żadnych oznak infekcji (tylko strona startowa adware w Chrome, wpis kompletnie nie powiązany z tematem), więc detekcja Baidu mogła być fałszywym alarmem. System został postawiony na nowo, więc temat zamykam.

Prawie kończymy: 1. Zastosuj DelFix, by usunął wszystkie komponenty FRST. 2. Na wszelki wypadek zrób jeszcze skan Hitman Pro. Jeśli cokolwiek wykryje, dostarcz log z wynikami. To wysokie obciążenie zasobów oraz określone pliki w folderze dziada wskazują, że był to Bitcoin miner nastawiony na zbieranie waluty Decred. Czyli raczej "potencjalnie niepożądana aplikacja" (PUP), aniżeli coś groźniejszego. Trudno się zorientować po Twoim raporcie z czym konkretnie ten obiekt powstawał. Gdzie widziałeś tę informację o Skype? Pytaniem jest też co konkretnie się uruchomiło, czy aby nie był to aktualizator Skype? Domyślnie (o ile nie zostanie to ręcznie zmienione) Skype wprowadza usługę Skype Updater ustawioną na start Automatyczny - do wglądu services.msc. Wielkie dzięki za wsparcie!

Wszystko wykonane. Teraz już tylko poprawki na K1: 1. Usunięcie m.in. opornego folderu Kuba. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Administrator\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Kuba Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.