picasso

Niestety Brontok wrócił. Komputer nie był podłączony do internetu, więc albo uruchomiłeś przypadkowo jakiś plik Brontok pozostawiony gdzieś na dysku, albo zostało podpięte urządzenie zewnętrzne zainfekowane Brontok. Brontok tworzy w wielu folderach pliki udające w nazwach i wyglądzie foldery, a ich omyłkowe uruchomienie przeładowuje infekcję. Przykład z Twojego raportu: 2016-07-01 12:55 - 2011-04-25 10:38 - 00044433 _____ C:\Documents and Settings\Admin\Moje dokumenty\Moje dokumenty.exe Zaczynamy od początku. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [Bron-Spizaetus] => C:\WINDOWS\ShellNew\RakyatKelaparan.exe [44433 2011-04-25] () HKLM\...\Winlogon: [Shell] Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" [x ] () HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Run: [Tok-Cirrhatus-1464] => C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\br3951on.exe [44433 2011-04-25] () HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\Empty.pif [2011-04-25] () AlternateShell: cmd-brontok.exe S3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe" [X] DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome C:\Documents and Settings\Admin\Moje dokumenty\Moje dokumenty.exe C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*.* C:\Program Files\Java C:\WINDOWS\KesenjanganSosial.exe C:\WINDOWS\ShellNew\RakyatKelaparan.exe C:\WINDOWS\system32\Admin's Setting.scr C:\WINDOWS\system32\cmd-brontok.exe C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job CMD: for /d %f in ("C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*bron*") do rd /s /q "%f" EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu i powstanie kolejny plik fixlog.txt. 2. Zrób nowe logi: log FRST z opcji Skanuj (Scan) ponownie z Addition oraz log Farbar Service Scanner. Dołącz też plik fixlog.txt. Tak, wiem, to było w skanie FRST widoczne: FF Homepage: hxxp://www.surveycompare.pl/?mckv=c4U7vptkv pcrid 39867592534 pkw p%C5%82atne%20ankiety pmt &mckvcid=63rv316uw0&cid=5256849d95975&source=google&medium=cpc&campaign=164888494&adgroup=9262031614&targetid=kwd-948351076&keyword=p%C5%82atne%20ankiety&matchtype=&ad=39867592534&network=d&device=c&devicemodel=&target=&placement=olx.pl&position=none&aceid=&ismobile=0&issearch=0&geo=1011419&geointerest=&gclid=CI-Fm6q9p80CFQoTGwodsnwD6g

Wszystko zgodnie z planem wykonane. Na koniec zastosuj DelFix.

SpyHunter to program wątpliwej reputacji! Z daleka od niego. Prócz tytułowego problemu jest tu jeszcze adware PriceFountain. Działania do przeprowadzenia: 1. Z poziomu Menu Start uruchom skrót deinstalacyjny SpyHunter: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\Deinstalacja programu SpyHunter4.lnk -> C:\Program Files\Enigma Software Group\SpyHunter\unins000.exe () Następnie niezależnie od tego czy deinstalacja się powiedzie, czy wręcz przeciwnie, zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {05529B75-1845-4188-9603-245B6B97744C} - System32\Tasks\MarekDeprehensionIllegiblyV2 => Rundll32.exe GhostlyGuardhouse.dll,main 7 1 Task: {05873C93-E0E9-40EB-8D6B-652628207830} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {06BEF976-A682-4816-8EDA-A44F9CB732DB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {26A6E2CC-BE1D-4FAF-A84F-10120214BEEB} - System32\Tasks\{7816E8E5-3F72-5AC5-6569-7BFDA5D3082B} => C:\Users\Marek\AppData\Roaming\PRICEF~1\PRICEF~1.EXE Task: {388AAAA6-5C88-447D-991A-B15E2BFE08BE} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {3CF2467A-B1F9-4008-8C25-89E376A9BD73} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {3D549FF7-81AE-4114-A0E4-409F5674822F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {4E3A722F-C929-41E4-8FF0-81AE68F3BD3F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5F5460AA-BEAD-432A-BC19-61C6078AF6B8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {6A97038D-06B7-4FC0-9A0B-CF29A22FD7FA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {89C476A8-A915-47F1-8F16-EFAAB853742C} - System32\Tasks\Marek => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Marek /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Task: {9210492B-6EBD-4FB4-88B3-91B20F6C2E2E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {AC472974-CE90-43C1-9D98-67AED3114734} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {B2257E5D-BD52-4CA6-896C-2F2011598A54} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {C1A04B0D-C33D-40B1-9CD0-3D193F3D9A61} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D866EE30-CA8D-4F0B-9EF2-F5C9C876E0A5} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {D91187A5-69D9-4682-92B1-291AF9270723} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E125B237-D3A6-42CB-95D9-EE8BB92E99E7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: C:\WINDOWS\Tasks\{7816E8E5-3F72-5AC5-6569-7BFDA5D3082B}.job => C:\Users\Marek\AppData\Roaming\PRICEF~1\PRICEF~1.EXE HKU\S-1-5-21-3924804133-2871598600-1272778469-1001\...\Run: [Marek] => explorer.exe hxxp://kb-ribaki.org HKU\S-1-5-21-3924804133-2871598600-1272778469-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 SearchScopes: HKU\S-1-5-21-3924804133-2871598600-1272778469-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF user.js: detected! => C:\Users\Marek\AppData\Roaming\Mozilla\Firefox\Profiles\nL1wCZN6.default\user.js [2016-07-09] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f C:\Users\Marek\AppData\Local\DeprehensionIllegibly C:\Users\Marek\AppData\Local\ImmunologistGunwale C:\Users\Marek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\DAEMON Tools Lite.lnk C:\WINDOWS\SysWOW64\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już Shortcut. Dołącz też plik fixlog.txt.

Wymagane poprawki. Otwórz Notatnik i wklej: Task: {3896B66A-A711-4085-A200-59FB3F6C31FE} - \ceQeekgBrowserUpdateUA -> Brak pliku Task: {A819884B-D5E8-4520-A1A9-7D1E027949A8} - \ceQeekgCheckTask -> Brak pliku Task: {CA3A2093-76B4-47E5-A630-1C5E9F2B5C65} - \ceQeekgBrowserUpdateCore -> Brak pliku FirewallRules: [{E86C65C0-CAC8-4616-9F9E-6B95C26F565A}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\chrome.exe FirewallRules: [{200B595F-8DC0-4815-B2CF-A45A3428F116}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe DeleteKey: HKCU\Software\ceQeekg DeleteKey: HKCU\Software\Classes\ceQeekgHTM DeleteKey: HKCU\Software\Classes\.htm DeleteKey: HKCU\Software\Classes\.html DeleteKey: HKCU\Software\Classes\.shtml DeleteKey: HKCU\Software\Classes\.webp DeleteKey: HKCU\Software\Classes\.xht DeleteKey: HKCU\Software\Classes\.xhtml DeleteKey: HKCU\Software\Clients\StartMenuInternet\ceQeekgHTM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\7c339b6f_0 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationFrame\Positions\ceQeekg DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice DeleteKey: HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\ftp\UserChoice DeleteKey: HKLM\SOFTWARE\WOW6432Node\ceQeekg Reg: reg delete HKCU\Software\Clients\StartMenuInternet /ve /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.htm /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.html /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.shtml /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.xht /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.xhtml /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_ftp /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_http /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_https /f Reg: reg delete HKCU\Software\RegisteredApplications /v ceQeekgHTM /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\ceQeekg\ceQeekg\chrome.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

kijek, nie udzielam odpowiedzi, bo na razie nie mam plików do zamiany w identycznej wersji wymaganej przez Twój system. Tu nie można podstawić pierwszego z brzegu pliku, tylko idealnie dopasowany. Nie próbuj przypadkiem szukać pliku "na Google" i via cudaczne wynalazki typu "DLL Fixer". Gdy będę mieć coś do powiedzenia, dam znać. To może potrwać.

To fałszywy klon na silniku Chromium imitujący Google Chrome i mający zintegrowane adware, ustawił się też jako domyślna przeglądarka. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {10248758-8E6D-4221-BE07-6D292DA0C505} - System32\Tasks\ceQeekgCheckTask => C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [2016-04-28] () Task: {153023CB-809B-4D9F-9665-3116813544B0} - System32\Tasks\Ariqockatidge Agent => Rundll32.exe "C:\Program Files (x86)\Ariqockatidge\AriqockatidgeAgn.dll",w Task: {2CD80B19-1AF0-45D6-97D7-E40D9B73E035} - System32\Tasks\ceQeekgBrowserUpdateUA => C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [2016-04-28] () Task: {35D7972E-A4F2-4A52-979F-C0122BA5BF51} - System32\Tasks\{9902414B-C298-4DD2-B046-D346A5F789EE} => Chrome.exe hxxp://ui.skype.com/ui/0/7.21.0.100/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {7466DE2C-F0A5-4842-AA0E-4799AB58CE91} - System32\Tasks\ceQeekgBrowserUpdateCore => C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [2016-04-28] () R2 ceQeekg_protect; C:\ProgramData\ceQeekg\protect\protect.exe [303000 2016-04-28] () S2 ceQeekg_update; C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [472984 2016-04-28] () S2 cktSvc; "C:\Program Files (x86)\Uncheckit\cktSvc.exe" {92E162D7-70FD-48F7-A779-91154F8FD518} [X] S2 clcmanagersrv; "C:\Program Files (x86)\Clcegh\clcmanagersrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] S2 McNaiAnn; "C:\Program Files\Common Files\McAfee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X] S3 McODS; "C:\Program Files\mcafee\VirusScan\mcods.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McNaiAnn => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="" HKLM-x32\...\Run: [] => [X] FirewallRules: [{A7491D4C-710E-483C-B658-A36C07FE22EB}] => (Allow) C:\ProgramData\ceQeekg\protect\protect.exe FirewallRules: [{30DA2E0F-2263-4A8F-8A80-35A2C16A4D92}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\chrome.exe FirewallRules: [{D0D6D1F5-536D-4187-A4FC-86B7BF27912A}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Ariqockatidge C:\Program Files (x86)\ceQeekg C:\ProgramData\ceQeekg C:\Users\Szymon\AppData\Roaming\Mozilla C:\Users\Szymon\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Ustaw prawdziwą przeglądarkę Google Chrome jako domyślną w opcjach. 3. Zrób nowe logi FRST: - Tradycyjny log z opcji Skanuj, ponownie z Addition, ale już bez Shortcut. - W polu Szukaj wklej ceQeekg i klik w Szukaj w rejestrze. Dołącz też plik fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Zapomiałeś o pliku fixlog.txt, ale jeśli wszystko w nim jest oznaczone jako wykonane, to już sobie to darujmy. W zasadzie kończymy: 1. AdwCleaner wykrył tylko drobne szczątki adware w rejestrze. Uruchom go ponownie i zastosuj sekwencję opcji Skanuj + Usuń. 2. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Adobe Reader DC Polish (tylko instalacja najnowszej łatki) i Java (wymiana wersji). Linki do najnowszych wersji też w w/w temacie.

Wszystko wygląda bardzo dobrze. Drobne poprawki: 1. Zapuść fixlist.txt o następującej postaci: S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2945312 2016-01-14] (IObit) S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X] FirewallRules: [{6B74FE10-B8AB-4CFB-B3D5-4BD76562B1D0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe FirewallRules: [{840FD6D3-9F86-4A2D-8488-8957520E2A87}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe FirewallRules: [{B4DB720B-1CD5-43F2-B990-3717602F4E8A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe FirewallRules: [{E26FE15A-2626-448C-B7E9-06DC0E7E89B0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe FirewallRules: [{488BA956-F3BB-43B7-80A1-2E45717E8AA7}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe FirewallRules: [{CAF9B8F3-6AEF-4453-B426-C8A482DA8BD1}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\IObit RemoveDirectory: C:\Users\Bolec\AppData\Roaming\uTorrent RemoveDirectory: C:\Users\Bolec\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Bolec\Downloads\gmer CMD: del /q C:\TDSSKiller.3.1.0.9_13.07.2016_02.44.45_log.txt CMD: del /q C:\Users\Bolec\Downloads\gmer.zip Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Ale nowe raporty FRST dostarcz, wszystko musi być sprawdzone. Jeśli chodzi o programy zabezpieczające, to popatrz na listę w przyklejonym: KLIK.

W raportach nie widać żadnych oznak infekcji. Do wykonania byłyby tylko kosmetyczne operacje usunięcia pustych wpisów (nie od infekcji), co na razie pomijam, gdyż nie ma to znaczenia. Z raportów nic nie wynika. Sprawdź na wszelki wypadek czy zmieni się sytuacja po tymczasowej deinstalacji Avast oraz MBAM. Co masz na myśli, jakie karty z Facebookiem, z jaką zawartością, podczas jakich operacji?

Adware pomyślnie usunięte i nie jest już aktywne. Teraz już tylko poprawki. Kolejna porcja: 1. Czy utraciłeś zakładki w Google Chrome, tzn. czy przed infekcją miałeś jakieś zapisane? Jeśli tak, to zamknij Chrome i przekopiuj pliki Bookmarks i Bookmarks.bak z folderu martwego profilu sprzed infekcji: C:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\Default ... do świeżo założonego profilu: C:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\Profile 1 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.hao123.com/?tn=92731610_hao_pg S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] C:\Program Files (x86)\MPC Cleaner C:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\Default C:\Windows\system32\Drivers\MPCKpt.removed734977625 Plik zapisz pod nazwą fixlist.txt (już nie trzeba ustawiać kodowania UTF-8) w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Co masz na myśli z tym obrazkiem z GMER? A jeśli chodzi o zawartość folderu "BitTorrent" pobraną via skrypt FRST, to definitywnie wygląda na część adware. Czyli powtórka, ale z uwzględnieniem tego falsyfikatu "BitTorrent": 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-07-06] () [brak podpisu cyfrowego] R2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-12] () [brak podpisu cyfrowego] Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YffAUcnuWgbrIySzScRd4UBvlgR0sAeWt5i4skNfU4HYj0xIAo8n49u-2SmqxKV6slsAMZdpAQ, HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Reg: reg delete HKCU\Environment /v SNF /f Reg: reg delete HKCU\Environment /v SNP /f C:\Program Files\BitTorrent C:\ProgramData\xifs C:\ProgramData\xifss C:\Windows\SysWOW64\findit.xml EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restarti powstanie kolejny plik fixlog.txt. 2. Punkty 2 do 4 z mojego pierwszego posta z instrukcjami.

Wygląda na to, że tym razem RepairDNS dokończył robotę. Niemniej na wszelki wypadek zrób skan sfc /scannow: KLIK. Jeśli komunikatem będzie "Nie znaleziono nruszeń integralności", wynikowy log zbędny, w przeciwnym wypadku wyprodukuj go zgodnie z instrukcją w linku. Uściślij niemożność wyboru: brak reakcji na klik, brak programów na liście, wybór nie utrzymuje się, inne?

Deinstalalacja wprawdzie pomyślnie wykonana, ale Tencent nie jest w pełni odinstalowany. Poza tym, mamy więcej problemów z adware. Kolejne działania do przeprowadzenia: 1. Wejdź do folderów C:\Program Files (x86)\MPC Cleaner + C:\Program Files (x86)\mpck. Wyszukaj plik deinstalatora (o ile jest) i z prawokliku na niego "Uruchom jako administrator". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U2 QQRepair10e7; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair10e7 [147176 2016-07-05] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [147176 2016-07-05] () R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [179320 2016-07-05] () R4 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernelEx64.sys [141816 2016-06-22] (Tencent Technology(Shenzhen) Company Limited) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.) S2 coollevalalyconfigurationService; Brak ImagePath S2 gulesuwizbt; Brak ImagePath R1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\QMUdisk64.sys [X] R3 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\softaal64.sys [X] R2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\TsNetHlpX64.sys [X] Task: {221EA8EF-8BB5-404F-801E-2E225B8904BD} - System32\Tasks\KondzioDecelerationsPlumagesV2 => Rundll32.exe BilkedBronzier.dll,main 7 1 Task: {4812C033-B219-46DA-9748-7C66B9D18675} - System32\Tasks\Coollevalaly Configuration => C:\Program Files (x86)\Coollevalaly\coollevalalyconfigurationTask.exe Task: {6F1BB191-109F-4EDB-AE63-1D4D51C3CEAB} - System32\Tasks\{36322EEB-8510-5E51-9BDD-6E7D9140FACA} => C:\Users\Kondzio\AppData\Roaming\{36322~1\SYNCVE~1.EXE Task: C:\Windows\Tasks\{36322EEB-8510-5E51-9BDD-6E7D9140FACA}.job => C:\Users\Kondzio\AppData\Roaming\{36322~1\SYNCVE~1.EXE AppInit_DLLs: C:\ProgramData\Quotenamron\Greendax.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Tiprunsoft.dll => Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\qq.exe HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\...\Run: [apphide2] => C:\Program Files (x86)\badu\qq.exe HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=92731610_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=92731610_hao_pg SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} SearchScopes: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} SearchScopes: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001 -> {EE8FB2EF-1E18-4419-8F18-A175BE3A5C91} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} SearchScopes: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\Tencent DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f C:\extensions C:\Program Files\Reimage C:\Program Files\Common Files\Tencent C:\Program Files (x86)\014D8E17-1465842485-11E5-8FC7-507B9D810DC9 C:\Program Files (x86)\badu C:\Program Files (x86)\Coollevalaly C:\Program Files (x86)\Esuyjojeght C:\Program Files (x86)\mpck C:\Program Files (x86)\Phepryhsadom C:\Program Files (x86)\Tencent C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\SogouInput C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Kondzio\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Kondzio\AppData\Local\app C:\Users\Kondzio\AppData\Local\Avg C:\Users\Kondzio\AppData\Local\AvgSetupLog C:\Users\Kondzio\AppData\Local\DecelerationsPlumages C:\Users\Kondzio\AppData\Local\PreadaptedRecrated C:\Users\Kondzio\AppData\Roaming\*.* C:\Users\Kondzio\AppData\Roaming\MCorp C:\Users\Kondzio\AppData\Roaming\Tencent C:\Users\Kondzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Kondzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Kondzio\Downloads\ReimageRepair.exe C:\Users\Kondzio\Downloads\ReimageRepair (1).exe C:\Windows\chromebrowser.exe C:\Windows\Reimage.ini C:\Windows\system32\Drivers\TAOKernelEx64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\System32\Drivers\ucguard.sys C:\Windows\SysWOW64\Drivers\TS888x64.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData (nazwa wyświetlana user0), który należy usunąć. Czyli: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa. Wg raportu FRST jest poprzedni profil na dysku, ale zanieczyszczony przez adware Safefinder. Nie wiadomo też czy traktowany nadal przez Chrome jako działający profil, to może być tylko odpadkowy folder. Na razie nie ruszam tego folderu, na wypadek gdyby trzeba było odzyskać z niego zakładki. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się też czy w ustawieniach Chrome było widać inny profil niż user0.

Zabrakło pliku fixlog.txt z wynikami uruchamiania skryptu FRST. Plik jest w katalogu, skąd uruchamiałeś FRST. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie widoczne tam profile i załóż świeży. Co to konkretnie oznacza i w którym miejscu próbujesz ustawić domyślną przeglądarkę? Wg raportu FRST obecnie domyślną przeglądarką jest Google Chrome: Internet Explorer Wersja 11 (Domyślna przeglądarka: Chrome) Nadal jest zainfekowane jedno z wystąpień 32-bitowego pliku dnsapi.dll. Uruchom ponownie narzędzie RepairDNS i podaj wynikowy log.

Zacznij od próby poprawnej deinstalacji: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Reimage Repair, 电脑管家11.6. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut.

Zacznij od przeczytania zasad działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki, wydzielone w osobny temat. Dostarcz wymagane raporty z FRST: KLIK. To dopiero na ich podstawie zostaną stworzone dla Ciebie instrukcje. A instrukcje podane w cudzych postach nie mają zastosowania do innych przypadków.

Bonjour wpina się w Winsock, konkretnie w część Namespace. Usunięcie pliku wpiętego w Winsock bez poprawnego wypięcia z łańcucha skutkuje opisywanymi objawami. Więcej na ten temat: KLIK. Podaj skany z FRST: KLIK. FRST umie wykazać usterkę, a skrypt podany FRST ją poprawnie naprawić. Zresztą poprawność zadania wynika właśnie z mojego raportu wskazującego, że trzeba uzgadniać też licznik wejść a nie tylko ciąć klucz z rejestru.

UnsignedFile.Multi.Generic to jest ogólna detekcja plików bez podpisu cyfrowego, taka detekcja nie świadczy o infekcji, jest wiele poprawnych instalacji które będą wykryte w TDSSKiller. Ta usługa jest widoczna w skanie FRST: R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-07-06] () [brak podpisu cyfrowego] Niemniej ona już mnie wcześniej zastanawiała, bo jakoś obiekt powstał w czasokresie inwazji adware + brak powiązanego wejścia na liście zainstalowanych, ale nie miałam czasu sprawdzić Bittorrent z oficjalnej strony czy taką usługę tworzy. Teraz się zmotywowałam, by zainstalować oficjalny Bittorent w wirtualnej maszynie - nie utworzył takiej usługi, czyli prawdopodobnie jest to jednak składnik adware. Pokaż mi co jest w tym folderze. Zrób plik fixlist.txt do FRST o zawartości: Folder: C:\Program Files\BitTorrent Klik w Fix (Napraw) i dostarcz wynikowy fixlog.txt.

Z widocznych śladów po Brontok została modyfikacja plku Hosts, podmiana powłoki Trybu awaryjnego z obsługą wiersza polecenia i kilka drobnych pliczków. Do wdrożenia będą też dodatkowe działania. 1. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędne instalacje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 20 NPAPI, Java 8 Update 65, McAfee Security Scan Plus, Microsoft Security Essentials, Skaner on-line mks_vir. Microsoft Security Essentials od ponad roku nie wspiera już XP, całkowite odcięcie od aktualizacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0 S3 SWDUMon; C:\WINDOWS\System32\DRIVERS\SWDUMon.sys [13464 2014-04-13] () S1 bsnhlxrg; \??\C:\WINDOWS\system32\drivers\bsnhlxrg.sys [X] S1 btyzzvkf; \??\C:\WINDOWS\system32\drivers\btyzzvkf.sys [X] S1 gkxhbgzd; \??\C:\WINDOWS\system32\drivers\gkxhbgzd.sys [X] S1 pkmdvkxa; \??\C:\WINDOWS\system32\drivers\pkmdvkxa.sys [X] S1 rbhgtnay; \??\C:\WINDOWS\system32\drivers\rbhgtnay.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S1 spvulzxz; \??\C:\WINDOWS\system32\drivers\spvulzxz.sys [X] S2 StarOpen; Brak ImagePath S1 tenjscqb; \??\C:\WINDOWS\system32\drivers\tenjscqb.sys [X] S1 tzyvpawd; \??\C:\WINDOWS\system32\drivers\tzyvpawd.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-09] C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{EA4B762B-89EA-4906-AB05-8DCCD6DF3D7B} C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Help\Frequently Asked Questions.lnk C:\Documents and Settings\All Users\Menu Start\Programy\WinRAR\Podręcznik RAR-a dla konsoli.lnk C:\Documents and Settings\Admin\Menu Start\Programy\WinRAR\Podręcznik RAR-a dla konsoli.lnk C:\Documents and Settings\Admin\Moje dokumenty\MOJE\Bank 2.lnk C:\Documents and Settings\Admin\Moje dokumenty\Moje wideo\DivX Movies\DivX.com.lnk C:\Documents and Settings\Admin\Moje dokumenty\Moje wideo\DivX Movies\Enhance your video soundtracks.lnk C:\Documents and Settings\Admin\SendTo\The Bat!.LNK C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Bron.tok.A16.em.bin C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\ListHost16.txt C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Administrator C:\Documents and Settings\ASPNET C:\Documents and Settings\Gość C:\Documents and Settings\Pomocnik C:\Documents and Settings\SUPPORT_388945a0 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\DRIVERS\SWDUMon.sys CMD: netsh firewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze starych preferencji i śmieci narosłych aktualizacjami: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale zostanie usunięty Multirow Bookmarks Toolbar Plus. Twoja decyzja czy go reinstalować, ale zważ, że to program sponsorowany: KLIK. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach nie widać żadnych typowych instalacji adware czy infekcji, a wyniki z AdwCleaner zupełnie nie powiązane z problemem. W związku z tym podejrzenia budzą zainstalowane rozszerzenia Chrome. Są tylko dwa niedomyślne: CHR Extension: (ZenMate VPN - Best Cyber Security & Unblock) - C:\Users\Jola-Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdcgdnkidjaadafnichfpabhfomcebme [2016-07-02] CHR Extension: (GG Plugin) - C:\Users\Jola-Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\khmcdkdpeihijgkgmmdkbccccjnonjie [2016-03-23] Podejrzany to ZenMate, nie tylko dlatego że zainstalowany co dopiero, ale też dlatego że darmowy "plan" jest supportowany przez reklamy: KLIK. "When using ZenMate, we may display in the framework of our free services advertisements in your browser or smartphone which are generated by us or by third party providers. These advertisements may overlay other elements shown on your screen." Rozpocznij od deinstalacji tego rozszerzenia i wyczyszczenia danych przeglądania Chrome. Podaj rezultaty czy są zmiany.

Masa problemów: infekcja DNS (zmodyfikowane pliki systemowe dnsapi.dll), infekcja WMI (aktywne modyfikowanie skrótów przeglądarek), spreparowany profil użytkownika w Google Chrome. Działania do przeprowadzenia: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [ ] ShellExecuteHooks: - {98C066AB-D735-4339-9E52-A34875141B56} - C:\Users\Michał\AppData\Local\Microsoft\Windows\INetCookies\repogh.dll [376000 2016-07-12] () Task: {3B561EA2-59E7-425D-97A5-E30D850B5E02} - System32\Tasks\Bazery Controls => C:\Program Files (x86)\Tholigetermught\bazeryControlsfimukcloele.exe Task: {489EB232-B305-4759-AA27-EA9ADA328DEE} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe Task: {EB8AA38F-10B2-4576-88F6-A38345425893} - System32\Tasks\Kucipy Cloud => C:\Program Files (x86)\Kucipy\kucipycloudtsk.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe HKLM\...\Run: [WINCOMQ0Q] => "C:\Program Files (x86)\sunnyday\wincom_Q0Q.exe" HKLM-x32\...\Run: [EYAN] => C:\Users\Michał\AppData\Roaming\THREADAPP.exe HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\surranderu\uc.exe HKLM-x32\...\Run: [win_en_77] => [X] HKLM-x32\...\Run: [sun21] => [X] HKLM\...\RunOnce: [OTUTPRODUCT_I04AV] => "C:\Program Files (x86)\sunnyday\otutnetwork.exe" HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 S3 dtlitescsibus; C:\Windows\System32\drivers\dtlitescsibus.sys [30264 2015-10-16] (Disc Soft Ltd) S3 ptun0901; C:\Windows\System32\drivers\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) S2 Ajisl; "C:\Users\Michał\AppData\Roaming\MuolOrycm\Nejde.exe" -cms [X] S2 kucipycloudsrv; "C:\Program Files (x86)\Kucipy\kucipycloudsrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] S2 YueweijieTransHost; C:\Program Files\YueweijieNetTrans\TransHost.exe [X] R1 UCGuard; system32\DRIVERS\ucguard.sys [X] S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X] S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X] GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.zingload.com/?type=ll&uid=7d4f42c8-84d7-4104-8cbc-b56e51589841 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.zingload.com/?type=ll&uid=7d4f42c8-84d7-4104-8cbc-b56e51589841 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dbupdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dbupdatem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{05A1E928-6A6C-47A5-B7AB-F16C8F04432C} Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v WINCOMQ0Q /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Dropbox /f C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\KMSAuto C:\ProgramData\Nero C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero (32-bit) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Virtual Audio Cable C:\Users\Michał\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Michał\AppData\Local\Microsoft\Windows\INetCookies\repogh.dll C:\Users\Michał\AppData\Local\MSfree Inc C:\Users\Michał\AppData\LocalLow\Company C:\Users\Michał\AppData\LocalLow0161BA50 C:\Users\Michał\AppData\Roaming\Nero C:\WINDOWS\system32\SppExtComObjHook.dll C:\WINDOWS\system32\SppExtComObjPatcher.exe C:\Windows\System32\Drivers\dtlitescsibus.sys C:\WINDOWS\system32\Drivers\KuaiZipDrive.sys C:\WINDOWS\system32\Drivers\ptun0901.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\ref CMD: ipconfig /flushdns CMD: netsh advfirewall reset RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData (nazwa wyświetlana user0), który należy usunąć. Czyli: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa. Niestety nie ma już w ogóle na dysku poprzedniego profilu, nie można go też odzyskać z kopii cieniowych Windows, bo Przywracanie systemu jest wyłączone... 4. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Nic wyraźnego. Sprawdź co powie Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i dostarcz log wynikowy. Jeśli nic nie wykryje, log zbędny.

AdwCleaner znalazł strony prekonfigurowane przez Lenovo (widziałam je w raporcie FRST). Spokojnie można to zignorować, ale ich "naprawa" też nie przyniesie szkód. Czyli kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS od używanego narzędzia Microsoftu. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.