picasso

Do tego nie ma co szukać sterowników w rozumieniu które temu przypisujesz. To jest wirtualne urządzenie generowane przez emulator SPTD od DAEMON Tools / Alcohol. Z Twojego raportu: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-05-09] (Duplex Secure Ltd.) U3 a5t6qt57; C:\Windows\System32\Drivers\a5t6qt57.sys [0 ] (Microsoft Corporation) Więcej na ten temat: KLIK / KLIK. Jeśli odinstalujesz DAEMON Tools Lite i sterownik SPTD zgodnie z wytycznymi w pierwszym linku, urządzenie zniknie z menedżera. Jeśli DAEMON Tools ma pozostać w systemie, to przynajmniej zaktualizuj SPTD do nowszej wersji posługując się narzędziem SPTDInst podanym w pierwszym linku. I dużo grzebałeś, więc zrób nowe raporty FRST (FRST.txt + Addition.txt) obrazujące zmiany. Podsumuj też co obecnie działa lub nie.

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku poniższy folder adware oraz od FRST: C:\Users\Ja\AppData\Roaming\PriceFountainUpdateVer C:\Users\Ja\Downloads\fix\FRST-OlderVersion Za pomocą Hitman Pro usuń wszystkie pozostałe wyniki. Wprawdzie w nich jest też FRST64.exe (fałszywy alarm), ale FRST idzie i tak na ubój i wszystkie kopie mają zostać usunięte z dysku. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Temat przenoszę do działu Windows. Nie ma wskazań, że to infekcja. A ten odczyt z GMER to wygląda jak by system był zablokowany. Z raportów FRST mało co wynika. To może być równie dobrze problem sprzętowy. Wg FRST niedawno odświeżały się sterowniki Avast. One nadal są aktywne, pomimo że rzekomo Avast odinstalowany. Zastosuj narzędzie Avast Uninstall Utility. Przy okazji odinstaluj też śmiecia Amazon Browser Bar. Zresetuj system. Po akcji zrób nowe raporty FRST (FRST.txt + Addition.txt) oraz wypowiedz się czy usunięcie sterowników Avast coś wniosło do sprawy. Czy to zachowanie podczas wchodzenia w awaryjny powtarza się?

W tej kwestii załóż nowy temat, przypuszczalny kierunek dział Hardware. DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat związany z adware rozwiązany. Zamykam.

Nie, FRST nie nadaje się do analizy zainstalowanych aktualizacji. Ta część w ogóle nie jest skanowana. Większym dowodem, że ma przypuszczalnie wszystkie aktualizacje, będzie odczyt z Windows Update, że nie znaleziono już nic więcej do zainstalowania.

Nie dołączyłeś pliku fixlog.txt z wynikami usuwania. Doczep go, plik jest tam skąd uruchamiałeś FRST. Nie uruchamiaj przypadkiem skryptu ponownie. Nie został wykonany ten punkt: Nadal wg FRST domyślnym profilem jest profil adware "ChromeDefaultData" (nazwa wyświetlana przypuszczalnie user0). Tego nie załatwisz żadnym "skryptem do FRST", jest konieczna operacja na profilach w opcjach Google Chrome.

Temat przenoszę do działu Vista. Infekcji tu nie widać. Zacznij od deinstalacji staroci, co odetnie część procesów. 1. Odinstaluj: Adobe AIR, Adobe Digital Editions, Adobe Flash Player 16 NPAPI, Adobe Reader X (10.1.16) - Polish, Adobe Shockwave Player, Bonjour, CyberLink DVD Suite, Facebook Video Calling 3.1.0.521, HP Customer Experience Enhancements, HP DVD Play 3.7, HP MediaSmart DVD, HP MediaSmart Music/Photo/Video, HP MediaSmart SmartMenu, HP MediaSmart Webcam, Java 8 Update 77, LabelPrint, LightScribe System Software, Mozilla Firefox 24.0 (x86 pl), Mozilla Maintenance Service, My HP Games, Nero 9, OpenOffice.org 3.4.1, Pasek narzędzi AOL 5.0, PhotoNow!, Power2Go, PowerDirector, RealPlayer, Sony Ericsson Update Service, Windows Live Messenger, Yahoo! Messenger, Yahoo! Software Update, Yahoo! Toolbar + to z czego nie będziesz korzystać. W przypadku problemów z deinstalacją skorzystaj z Wise Program Uninstaller oraz Program Install and Uninstall Troubleshooter. 2. Uruchom ten skrypt: KLIK. Wklej do Notatnika skrypt podany na stronie, zapisz pod nazwą FIX.VBS, plik umieść na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS. 3. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. I będzie doczyszczanie po deinstalacjach.

Temat przenoszę do działu sprzętowego. A log z FRST bezużyteczny i nic tu nie zdziałamy. FRST w ogóle nie wykrył zawartości dysku systemowego (ten dysk nie jest wyliczany w sekcji dysków, tylko w spisie partycji widać że jest twardy), w związku z tym nie był w stanie podmontować rejestru, ani nie wykrył żadnych plików na dysku. ATTENTION: Could not load system hive. ATTENTION: System hive is missing. To wszystko oznacza brak czytelności dysku z systemem.

Podaj też log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

Ale przecież te łaty mają być zamiast aktualnego wyszukiwania Windows Update, właśnie by obejść problem długiego wyszukiwania na świeżo zainstalowanym systemie, który ma potężne braki. Najpierw instalujesz tę pierwszą (ona jest niezbędna, by dało się zainstalować tę drugą). Tak, to jest przedstawione jako "Autonomiczny Instalator rozszerzenia Windows Update", i to należy zainstalować. Potem instalujesz tę drugą łatę, która w istocie ładuje MASĘ łat, by nie pobierać ich z Windows Update. I dopiero gdy ona się zainstaluje, uruchamiasz Windows Update w systemie, które powinno działać już szybciej i wyszukać tylko "drobnicę" wydaną po kwietniu 2016. PS. Przez SHIFT+DEL (omija Kosz) dokasuj foldery: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence C:\Users\Arek\Desktop\Stare dane programu Firefox

Wszystko poprawnie wykonane. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Istotnie, jest tu w Harmonogramie zadań mocno podejrzany obiekt wyglądający jak malware, które udaje "Microsoft", a na dysku w katalogu system32 masowo tworzone foldery o "bełkotliwych" nazwach. Ponadto, FRST notuje jakąś niejasną usterkę WMI: ==================== Punkty Przywracania systemu ========================= 10-06-2016 21:52:26 Zaplanowany punkt kontrolny 11-06-2016 00:57:36 Zainstalowano: Microsoft Visual C++ 2005 Redistributable Sprawdź usługę "winmgmt" lub napraw WMI. Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {427CD3E5-B6B3-4901-A92F-53E9AB9F7C2B} - System32\Tasks\Anugcyucnogyi => C:\Windows\system32\Rahaqawi\Adafto.exe [2016-06-01] (Microsoft Corporation) Winlogon\Notify\igfxcui: igfxdev.dll [X] BootExecute: autocheck autochk * sdnclean.exe S3 catchme; \??\C:\Users\Admin\AppData\Local\Temp\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Winsock: Catalog5 08 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL Brak pliku Winsock: Catalog5 09 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-4117495662-1774613777-2529111306-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-4117495662-1774613777-2529111306-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xjrpv4k8.default\user.js [2016-06-09] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-4117495662-1774613777-2529111306-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Program Files\Spybot - Search & Destroy 2 C:\ProgramData\AVAST Software C:\ProgramData\Malwarebytes C:\ProgramData\Spybot - Search & Destroy C:\Users\Admin\AppData\Roaming\rmi C:\Users\Pracownik\AppData\Local\Olpus.cei C:\Users\Pracownik\AppData\Local\Ufhyvyg C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Windows\system32\Ancoiqveamitk C:\Windows\system32\Ehwavati C:\Windows\system32\Elymymfikaoxdu C:\Windows\system32\Esyxowqa C:\Windows\system32\Ifizuxifulf C:\Windows\system32\Liezquodbi C:\Windows\system32\Osofgiog C:\Windows\system32\Qezoabihloi C:\Windows\system32\Rahaqawi C:\Windows\system32\Rusiticiyp C:\Windows\system32\Suytgariwuepot C:\Windows\system32\Ufhyvygeuzz C:\Windows\system32\Xycotyfof C:\Windows\system32\Yvxielogyscusu C:\Windows\system32\Drivers\etc\hosts_bak_* C:\Windows\system32\Drivers\etc\hosts.* CMD: type C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini CMD: dir /a C:\Windows\system32 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Firefox masz starą wersję Adblock Plus bez podpisu cyfrowego. Odinstaluj go. Zamiennie proponuję uBlock Origin. 3. Zrób nowe logi: - Są tu dwa konta, Admin oraz Pracownik. Wymagane sprawdzenie raportów z każdego z osobna. Zaloguj się po kolei na każde konto poprzez pełny restart (a nie Wyloguj czy Przełącz użytkownika) i na każdym koncie zrób logi FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Na koncie limitowanym uruchom FRST przez dwuklik a nie "Uruchom jako administrator", by nie zmienić kontekstu konta. - Ponadto zrób log z narzędzia WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia: Start > w polu szukania wklep cmd > z prawokliku Uruchom jako administrator > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki. Dołącz też plik fixlog.txt. I potwierdź mi, że AmmyyAdmin to celowa instalacja.

W jakim rozumieniu "zniknęły", nie ma w ogóle katalogu E:\Gry?

1. System po formacie a już: Zainstalowany śmieć, czyli ByteFence Anti-Malware. Odinstaluj to, to niepożądany program (copycat programu Malwarebytes Anti-Malware). Zanieczyszczone adware "webssearches" preferencje Firefox. Najwyraźniej kopiowałeś profil Firefox przed formatem. Przeczyść konkretnie: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblok Plus trzeba będzie go przeinstalować. Niemniej zamiast niego polecam uBlock Origin. 2. O ile ręcznie ich nie usuwałeś z każdego folderu, zostały jeszcze notatki ransom Cerbera na dysku D. By je usunąć, możesz zapuścić taki oto skrypt fixlist.txt do FRST: CMD: attrib -r -h -s "D:\# DECRYPT MY FILES #.*" /s CMD: del /q /s "D:\# DECRYPT MY FILES #.*" To świeży system, więc możesz załadować zbiorczą paczkę instalującą wszystkie łaty wydane po SP1 do kwietnia 2016: - April 2015 servicing stack update (KB3020369) - Łata wymagana, by móc zainstalować poniższą zbiorczą. - Update for Windows 7 for x64-based Systems (KB3125574) - By pobrać tę paczkę, stronę musisz uruchomić z poziomu Internet Explorer a nie Firefox, podczas jej uruchamiania padnie pytanie o instalację ActiveX, którą należy zatwierdzić, by pokazała się zawartość katalogu. Po instalacji tego uruchom Windows Update, by dociągnąć drobniejsze wydania po kwietniu 2016. Pomocą służą dodatkowe programy z listy: KLIK. Ponadto, infekcje tego typu wchodzą też przez luki w oprogramowaniu i należy aktualizować system i softy. Oczywistym jest też, że należy robić kopie zapasowe cennych danych na odizolowanym nośniku zewnętrznym.

Konfiguracja skanu FRST: KLIK. Raport z FRST został zrobiony na innych ustawieniach niż zalecane. Odznaczyłeś pola w sekcji Filtrowanie, co spowodowało że pokazały się też poprawne wpisy umyślnie ukrywane, co tylko wydłuża analizę. Proszę trzymaj się ustawień podanych w przyklejonym temacie. Ogromna ilość infekcji: chińskie programy, infekcja DNS (zmodyfikowany plik systemu dnsapi.dll), infekcja WMI, podstawiony fałszywy profil Firefox. Działania do przeprowadzenia: 1. Deinstalacje adware (należy ją wykonać poza trybem awaryjnym): - Przez Panel sterowania odinstaluj: AdSkip, CleanBrowser, Compress, EasyHotspot version 1.0, groover, hohosearch - Uninstall. - Wejdź do folderów C:\Program Files\MPC Cleaner + C:\Program Files\Tencent. Wyszukaj deinstalatory, z prawokliku "Uruchom jako administrator", zresetuj system. Przypuszczalnie Tencent stawi opór, ale próbuj. 2. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe S2 4CF14471-2DB5-4622-9A5D-81788C0951D3; C:\Program Files\Nuvkiiwmomdirh\Tydusat.exe [271360 2016-06-15] () [brak podpisu cyfrowego] S2 ADSkipSvc; C:\Program Files\ADSKIP\ADSkipSvc.exe [129144 2016-05-11] () S2 Huhcadj; C:\Users\Serwis\AppData\Roaming\Xyqoufob\Xyqoufob.exe [170496 2016-06-15] () [brak podpisu cyfrowego] S2 Nuvkiiwmomdirh Updater; C:\Program Files\Nuvkiiwmomdirh\Lopgostu.exe [267776 2016-06-15] () [brak podpisu cyfrowego] S2 ProntSpooler; C:\Users\Serwis\AppData\Local\Apps\2.0\abril.exe [134656 2016-05-19] () [brak podpisu cyfrowego] R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-06-15] (Tencent) S2 QQRepair24ab; C:\Program Files\Tencent\QQPCMGR\QQRepair24ab [147176 2016-06-15] () S2 QQRepairFixSVC; C:\Program Files\Tencent\QQPCMGR\QQRepairFixSVC [147176 2016-06-15] () S2 ziphost; C:\Program Files\ZipTool\ziphost.dll [114080 2015-11-30] () S2 ArerackServerService; "C:\Program Files\Arerack\ArerackServerService.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] S3 blNetFilter; C:\Windows\system32\drivers\blNetFilter.sys [43912 2016-05-11] () R1 bsdp32; C:\Windows\system32\Drivers\bsdp32.sys [32576 2016-06-15] () S1 QMUdisk; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMUdisk.sys [104440 2016-05-18] (Tencent) S1 QQPCHelper; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCHelper.sys [34936 2016-06-15] (Tencent) S2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQSysMon.sys [120952 2016-06-15] (电脑管家) S1 softaal; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\softaal.sys [45816 2016-06-15] (Tencent) S3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator.sys [126008 2016-06-15] (Tencent) S1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel.sys [109688 2016-06-15] (Tencent Technology(Shenzhen) Company Limited) S3 TFsFlt; C:\Windows\System32\Drivers\TFsFlt.sys [159608 2016-06-15] (电脑管家) S1 TSDefenseBt; C:\Windows\System32\DRIVERS\TSDefenseBt.sys [14008 2016-06-15] (Tencent) R0 TsFltMgr; C:\Windows\System32\drivers\TsFltMgr.sys [137816 2016-06-15] (电脑管家) S1 TSKSP; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TSKsp.sys [220984 2016-06-15] (电脑管家) S2 tsnethlp; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TsNetHlp.sys [53368 2016-06-15] () S3 TSSK; C:\Windows\System32\tssk.sys [83576 2016-06-15] (电脑管家) R0 YJSPVTFSCR; C:\Windows\System32\Drivers\askProtect.sys [200072 2016-05-11] () S1 ZipProtect; c:\program files\ziptool\ZipProtect.sys [515824 2015-12-14] () S2 Ca1628av; System32\Drivers\Ca1628av.sys [X] S3 MarkFun_NT; \??\C:\Program Files\Gigabyte\ET5\markfun.w32 [X] S1 SRepairDrv; \??\C:\Program Files\Tencent\QQPCMGR\SRepairDrv [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdp32.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdp32.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\...\Run: [apphide] => C:\Program Files\badu\qq.exe [499802 2016-06-11] () HKLM\...\Run: [EasyHotspot] => C:\Program Files\EasyHotspot\EasyHotspot.exe [2622976 2016-04-18] (CSDI) HKLM\...\Run: [ QQPCTray] => C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-06-15] (Tencent) HKLM\...\RunOnce: [iDSCPRODUCT] => C:\Program Files\EasyHotspot\idscservice.exe [60416 2016-06-15] ( HKLM\...\RunOnce: [OTUTPRODUCT_P1QD2] => C:\Program Files\mpck\otutnetwork.exe [314880 2016-06-15] () HKLM\...\Winlogon: [userinit] wscript C:\Windows\run.vbs, HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1431477904-2404962558-605509844-1000\...\Run: [QGuan10in12] => C:\Users\Serwis\AppData\Roaming\UPUpdata\service90132.exe [1945600 2016-06-15] () HKU\S-1-5-21-1431477904-2404962558-605509844-1000\...\Run: [msiql] => C:\Users\Serwis\AppData\Roaming\UPUpdata\msiql.exe [1902080 2016-06-15] () HKU\S-1-5-21-1431477904-2404962558-605509844-1000\...\Run: [QGuan10in1] => C:\Users\Serwis\AppData\Roaming\UPUpdata\service72564.exe [1945600 2016-06-15] () ShellExecuteHooks: - {98C066AB-D735-4339-9E52-A34875141B56} - C:\Users\Serwis\AppData\Roaming\Microsoft\Windows\Cookies\grumak.dll [316088 2016-06-14] () ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt.dll [2016-06-15] (Tencent) ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => C:\Program Files\ZipTool\JZipExt.dll [2015-11-30] () BHO: Nuvkiiwmomdirh -> {9A714587-DD25-4BD8-8938-EAE3940B98B1} -> C:\Program Files\Nuvkiiwmomdirh\Vidci.dll [2016-06-15] () FF Plugin: @qq.com/QQPCMgr -> C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\npQMExtensionsMozilla.dll [2016-06-15] (Tencent Technology (Shenzhen) Company Limited) Task: {096E5706-630A-4C23-8B03-0C34C51376CB} - System32\Tasks\{7F556B9D-27BB-4A07-AC67-C8C781A3D2BC} => pcalua.exe -a C:\WINDOWS\ISUNINST.EXE -c -f"C:\Program Files\Gigabyte\ET5\Uninst.isu" -c"C:\Program Files\Gigabyte\ET5\uninstdrv.dll" Task: {360D6C92-FB18-4EE1-AA28-1766F0B0E2B7} - System32\Tasks\{4CB3C0B7-F0C4-4F53-8728-A2CC9DBBD64D} => pcalua.exe -a H:\SETUP.EXE -d H:\ Task: {4A682105-BE16-4F9D-95E9-82F6A8675599} - System32\Tasks\Arerack Server => C:\Program Files\Arerack\ArerackServerTask.exe [2016-06-14] () Task: {56C540C6-1C9A-4C5E-AE97-3255400EEB2C} - System32\Tasks\tasklist => C:\Users\Serwis\AppData\Roaming\UPUpdata\service72564.exe [2016-06-15] () Task: {5ACDFC22-1CAF-424B-91B8-1817E4F08D13} - System32\Tasks\{00D8F59D-6355-4320-B656-047D4C30E9B3} => pcalua.exe -a "G:\Radio Code\SAMOCHODY\IMMOBILIZER\immo_soft\Loader.exe" Task: {B433477F-0A53-4761-97C9-E89B7A0FF50B} - System32\Tasks\{11403C9E-61E0-4B9C-9504-953691A52CDB} => pcalua.exe -a G:\Programatory\setup97ja.exe -d G:\Programatory Task: {D766EBAE-00E2-48BD-AB1C-EB468F980EEB} - System32\Tasks\{4240F6B0-999B-41A0-8684-C12891E7CDDF} => pcalua.exe -a "G:\Radio Code\SAMOCHODY\IMMOBILIZER\immo_soft\IMMOdecoder.exe" Task: {DCD321CF-F4D8-4AB5-B4AA-08F868508DAC} - System32\Tasks\{84127E72-29F0-441F-8636-3FEA3CBFD515} => pcalua.exe -a I:\vcredist_x64.exe -d I:\ -c /q Tcpip\..\Interfaces\{0D2388DF-3057-4C45-A1AD-F255975D7760}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{6D5499AB-547E-439A-99DF-01AA3724394E}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{7B6720DA-83C2-42F0-8C02-023D8CFDE8A0}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{9DA41E12-3CEE-4C4D-A802-D3B75618EDDD}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{e29ac6c2-7037-11de-816d-806e6f6e6963}: [NameServer] 104.197.191.4 WMI_ActiveScriptEventConsumer_ASEC: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.hao123.com/?tn=90098758_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://www.hao123.com/?tn=90098758_hao_pg HKU\S-1-5-21-1431477904-2404962558-605509844-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.hao123.com/?tn=90098758_hao_pg HKU\S-1-5-21-1431477904-2404962558-605509844-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://www.hao123.com/?tn=90098758_hao_pg FirewallRules: [{BA7B264F-91FE-4BA5-B5FC-C5910471F06D}] => (Allow) C:\Program Files\ADSKIP\ADSkip.exe FirewallRules: [{88963AA8-35CC-4C4E-8A69-5E15DF794BB5}] => (Allow) C:\Program Files\ADSKIP\ADSkipSvc.exe FirewallRules: [{583D1364-F5E0-4A6B-BA31-0481645F7FD3}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCmgrInstallGuide.exe FirewallRules: [{51A67260-7EF5-45B6-A7A5-D3EAA8CA4F66}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe FirewallRules: [{0FA725BB-9BD2-40A6-87D3-EA17FD369463}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCMgr.exe FirewallRules: [{E4737BD1-3948-4431-8A66-FD1858B644B9}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe FirewallRules: [{B37795DE-3551-4B7A-998C-1C07A7DBD534}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMDL.exe FirewallRules: [{0C12E439-6898-4FCE-BCC0-3B0EA833D2F3}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\bugreport.exe FirewallRules: [{1A7EFB1D-0B61-404E-901F-2D2E67CAA5AB}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{E09C8D87-FA76-4FF8-B9F0-D2FDA2AB9A65}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCFileOpen.exe FirewallRules: [{BACABF39-2C61-4CDB-9B95-51C19F088E2A}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{1E2079EF-5B98-4055-9782-D601737D90CD}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCLeakScan.exe FirewallRules: [{0C42BD49-5C02-4FC9-BB5D-E7C749378F67}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPConfig.exe FirewallRules: [{70249663-419B-4DAC-A31D-2F40BA4C5BFD}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCSoftMgr.exe FirewallRules: [{7EBBC529-2F2A-4F27-BCB7-848F81A46F3D}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\plugins\QMNetMon\QQPCNetFlow.exe FirewallRules: [{3C3B0FCB-E14A-43AF-BF09-C3E78C6CB635}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCBTU.exe FirewallRules: [{4485A483-E11F-4393-B454-9FE8BC7D5C8A}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCClinic.exe FirewallRules: [{A9A42589-062C-40C3-8EA0-C597C509301D}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCLaunch.exe FirewallRules: [{51DA95C7-3B17-4658-8131-C798344CBF8B}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{5F6B87B1-275B-412B-A287-4E6045558C08}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCSoftGame.exe FirewallRules: [{BEBDBAD9-9A71-4F47-B737-F847FD560BAC}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCSysOptimize.exe FirewallRules: [{03AFCFDA-671F-46F3-922A-C70473CB4019}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCUpdateAVLib.exe FirewallRules: [{EB01873C-6B5B-41FE-89A1-4726638C04C6}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQRepair.exe FirewallRules: [{C5E5B65D-26AF-4540-8457-F4576D961560}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\Uninst.exe FirewallRules: [{61370178-1ED8-49A8-8AC6-C49D30479F04}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCPatch.exe FirewallRules: [{8995C442-A354-45AB-B3E4-0EE58CF6E509}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TpkUpdate.exe FirewallRules: [{51F88AFE-EE60-490B-B927-5775B864D9B2}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMRouterMgr.exe FirewallRules: [{6231A899-0506-4F82-A4D4-6D988B3D2296}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMAccountProtection.exe FirewallRules: [{E7B4421F-8EB3-452E-9E7A-844205EA464D}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMAdBlock.exe AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Tencent Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f CMD: for %i in ("C:\Program Files\ZipTool\*.dll") do regsvr32 /s /u %i CMD: for %i in ("C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\*.dll") do regsvr32 /s /u %i C:\Program Files\mshexc.bmp C:\Program Files\ADSKIP C:\Program Files\Arerack C:\Program Files\badu C:\Program Files\CleanBrowser C:\Program Files\EasyHotspot C:\Program Files\Mozilla Firefox\plugins C:\Program Files\MPC Cleaner C:\Program Files\mpck C:\Program Files\Nuvkiiwmomdirh C:\Program Files\NuvkiiwmomdirhUn C:\Program Files\Shoruyjjsp C:\Program Files\Tencent C:\Program Files\Wutaingjlaph C:\Program Files\ZipTool C:\Program Files\Common Files\Tencent C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\uninst C:\Users\Serwis\AppData\Local\app C:\Users\Serwis\AppData\Local\csdi_monetize_120160614 C:\Users\Serwis\AppData\Local\Tempfolder C:\Users\Serwis\AppData\Local\tuto_monetize_120160614 C:\Users\Serwis\AppData\Local\Apps\2.0\abril.exe C:\Users\Serwis\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Serwis\AppData\LocalLow\Company C:\Users\Serwis\AppData\LocalLow00237270 C:\Users\Serwis\AppData\LocalLow0036CAA8 C:\Users\Serwis\AppData\Roaming\*.* C:\Users\Serwis\AppData\Roaming\ADSKIP C:\Users\Serwis\AppData\Roaming\MCorp C:\Users\Serwis\AppData\Roaming\Tencent C:\Users\Serwis\AppData\Roaming\UPUpdata C:\Users\Serwis\AppData\Roaming\Xyqoufob C:\Users\Serwis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\AdSkip.lnk C:\Users\Serwis\AppData\Roaming\Microsoft\Windows\Cookies\grumak.dll C:\Users\Serwis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AdSkip C:\Users\Serwis\Desktop\AdSkip.lnk C:\Users\Serwis\Desktop\AutoTime.lnk C:\Users\Serwis\Desktop\EasyHotspot.lnk C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Windows\system32\TSSK.sys C:\Windows\system32\mhl C:\Windows\system32\Drivers\askProtect.sys C:\Windows\system32\Drivers\blNetFilter.sys C:\Windows\system32\Drivers\bsdp32.sys C:\Windows\system32\Drivers\TAOAccelerator.sys C:\Windows\system32\Drivers\TAOKernel.sys C:\Windows\system32\Drivers\TFsFlt.sys C:\Windows\system32\Drivers\TSDefenseBt.sys C:\Windows\system32\Drivers\TsFltMgr.sys C:\Windows\system32\Drivers\etc\hp.bak CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Operacje związane z usuwaniem profilu adware w Firefox: - Wyeksportuj z obecnego profilu zakładki, o ile w ogóle cokolwiek jest. Zamknij Firefox. - Klawisz z flagą Windows + R i wklej poniższe polecenie, co otworzy Menedżer profilów. Załóż świeży profil a dwa pozostałe widoczne w oknie całkowicie skasuj. "C:\Program Files\Mozilla Firefox\firefox.exe" -p 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też pliki fixlog.txt + RepairDNS.txt.

Temat sprzątam. W zasadach jest także wzmiankowane, by opisać problem. Raporty są bardzo ograniczone tylko do specyficznych miejsc i wymagam tekstowego opisu. W skrócie opisz swój problem, tytuł tematu zostanie zmieniony na odpowiedniejszy pasujący do problemu. Działania nie ograniczą się przecież do "skryptu". Jeśli rzecz o brakujących raportach (choć GMER już uzupełniony): - FRST nie działa na tym samym poziomie co GMER (nie ma własnego sterownika wysokiego dostępu), co powoduje że mogą się przed nim określone obiekty ukryć i nie będą w ogóle widoczne w raporcie. Stąd też obowiązkowym logiem jest i GMER. - Shortcut jest potrzebny, gdyż w Addition są tylko niektóre skróty wyliczane. W raportach widać szkodliwe proxy, zmodyfikowane skróty przeglądarek oraz kilka obiektów startowych adware. Poza tym, adware wstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData. Przyczyną problemów był poniższy plik, pomijając już to że miał być związany z crackiem, to nawet nie jest poprawny instalator cracka tylko downloader z adware: 2016-06-10 23:18 - 2016-06-10 23:18 - 04084912 _____ (WrldNtn inc) C:\Users\Mariolka\Downloads\Axure_RP_8_Crack__downloader.exe. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 QifiryplohelebuilderSrv; "C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] Task: {DC2FD428-B3BB-42B9-80DB-1B56886040CD} - System32\Tasks\{B0F9E0DB-ADCB-40EC-8441-ECBBAC543866} => pcalua.exe -a "C:\Program Files (x86)\Common Files\BioIty\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\BioIty\uninstall.dat" -a uninstallme 06B018B8-ED67-471B-91D8-11F9A80D0AA1 DeviceId=e7cbb34f-0f7e-2c4e-4128-676836156ed0 BarcodeId=51129011 ChannelId=11 DistributerName=APSFSWAds HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe HKLM-x32\...\Run: [sun21] => "C:\Program Files (x86)\SunnyDay21\SunnyDay.exe" HKLM\...\RunOnce: [WINDOWS_SCREEN_MANAGER_UPDATER_1] => C:\Users\Mariolka\AppData\Roaming\ahtSR\Windows screen manage updater.exe [16896 2016-06-10] (Wizzservices) HKLM\...\RunOnce: [WEPRODUCT618F5] => C:\Users\Mariolka\AppData\Local\Temp\7E3RP1EXJ6.exe [22016 2016-06-10] (Animal) HKU\S-1-5-21-887697183-1252705721-1128697598-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-887697183-1252705721-1128697598-1000\...\MountPoints2: {d4142762-fc36-11e5-a951-240a64524fac} - F:\HTC_Sync_Manager_PC.exe SearchScopes: HKLM-x32 -> DefaultScope - brak wartości FirewallRules: [{0700FDCC-0BA7-42F2-A238-CB4005D1D093}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600" ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600" ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600" ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600" ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600" DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06B018B8-ED67-471B-91D8-11F9A80D0AA1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Bmotain C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Puntehesy C:\Program Files (x86)\Common Files\BioIty C:\ProgramData\{055B5F86-6866-40AB-BB69-EDC73E70E893} C:\ProgramData\{358C58B0-8ACD-4AFC-A78E-F60204B67F56} C:\ProgramData\Utatitys C:\Users\Mariolka\AppData\Local\*.* C:\Users\Mariolka\AppData\Roaming\*.* C:\Users\Mariolka\AppData\Roaming\ahtSR C:\Users\Mariolka\AppData\Roaming\Mozilla C:\Users\Mariolka\Downloads\Axure_RP_8_Crack__downloader.exe C:\Users\Mariolka\Downloads\Niepotwierdzony 322688.crdownload C:\Users\Mariolka\Downloads\Hola-Setup.exe RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > na liście powinien być user0 (to profil utworzony porzez adware). Jeśli widać inny profil prócz wymienianego, to się od razu na niego zaloguj. Jeśli jednak to jedyna widoczna "Osoba", skorzystaj z opcji Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz brakujące pole Shortcut. Dołącz też plik fixlog.txt.

Nadal widoczna ogromna ilość aktywnych śmieci adware. Działania do przeprowadzenia: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalatora "Uruchom jako administratot". Zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Gatvokgeu; C:\Users\Miłosz\AppData\Roaming\Wolcacfent\Wolcacfent.exe [170496 2016-06-13] () [brak podpisu cyfrowego] R2 Macjebsh; C:\Users\Miłosz\AppData\Roaming\Fuwijoagky\Fuwijoagky.exe [170496 2016-06-12] () [brak podpisu cyfrowego] R2 Uvupzeqq; C:\Users\Miłosz\AppData\Roaming\OuniilGesjau\Eivynf.exe [121344 2016-06-13] () [brak podpisu cyfrowego] S2 Konksolex; C:\ProgramData\\Konksolex\\Konksolex.exe shuz -f "C:\ProgramData\\Konksolex\\Konksolex.dat" -l -a S2 ktip; Brak ImagePath S3 blNetFilter; \??\C:\Windows\system32\drivers\blNetFilter.sys [X] HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\...\Run: [QGuan10in12] => C:\Users\Miłosz\AppData\Roaming\UPUpdata\service90132.exe /autorun HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\...\Run: [QGuan10in1] => C:\Users\Miłosz\AppData\Roaming\UPUpdata\service72564.exe /autorun AppInit_DLLs: C:\ProgramData\Konksolex\Consing.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Konksolex\BioJayair.dll => Brak pliku ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll Brak pliku Task: {71ABE0A4-C140-46E5-861F-9DB8F7B03BDB} - System32\Tasks\{B83A7B4D-B1D1-4AB8-81AE-11CAA0590EF1} => pcalua.exe -a "C:\Program Files (x86)\Hostify\uninstaller.exe" Task: {75536DAD-0AB1-41F3-AC75-3EE32469126D} - System32\Tasks\{DDB87F90-E410-47D8-A809-66F68150752B} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Holdtop\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Holdtop\uninstall.dat" -a uninstallme 5EFCBFA2-A8E1-4276-B180-4E7391134263 DeviceId=1d3dadad-c54d-c172-e170-de801dcdccde BarcodeId=51113011 ChannelId=11 DistributerName=APSFTuto4PC Task: {8FC56435-F164-4A0F-9D90-FCEFB608DADF} - System32\Tasks\{305AED41-8A8F-4374-A5BB-64234BFDECAD} => Chrome.exe hxxp://ui.skype.com/ui/0/7.18.0.109/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {F6F25743-0099-4E3E-80E5-0F8D72B8D029} - System32\Tasks\MiłoszMulberryIodinesV2 => Rundll32.exe NonphysiologicalScapulae.dll,main 7 1 ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3088862897-2558729093-2797936310-1000 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat => Brak pliku CHR HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5EFCBFA2-A8E1-4276-B180-4E7391134263} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Wuctopl C:\Program Files (x86)\Atatuch C:\Program Files (x86)\Libasaraming C:\Program Files (x86)\MPC Cleaner C:\ProgramData\Konksolexs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\Miłosz\AppData\Local\MulberryIodines C:\Users\Miłosz\AppData\Local\Tempfolder C:\Users\Miłosz\AppData\Local\UCBrowser C:\Users\Miłosz\AppData\LocalLow0065F5D8 C:\Users\Miłosz\AppData\LocalLow002CA990 C:\Users\Miłosz\AppData\LocalLow00282010 C:\Users\Miłosz\AppData\LocalLow00000000030B73D8 C:\Users\Miłosz\AppData\LocalLow00534960 C:\Users\Miłosz\AppData\LocalLow004F2010 C:\Users\Miłosz\AppData\LocalLow000000000051D5D8 C:\Users\Miłosz\AppData\LocalLow\Company C:\Users\Miłosz\AppData\Roaming\*.* C:\Users\Miłosz\AppData\Roaming\PriceFountainUpdateVer C:\Users\Miłosz\AppData\Roaming\Fuwijoagky C:\Users\Miłosz\AppData\Roaming\gplyra C:\Users\Miłosz\AppData\Roaming\MCorp C:\Users\Miłosz\AppData\Roaming\Mozilla C:\Users\Miłosz\AppData\Roaming\Nwd6g C:\Users\Miłosz\AppData\Roaming\oSVja C:\Users\Miłosz\AppData\Roaming\OuniilGesjau C:\Users\Miłosz\AppData\Roaming\Wolcacfent C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Users\Mi硂sz C:\Windows\system32\aan C:\Windows\system32\des C:\Windows\system32\eag C:\Windows\system32\joxp C:\Windows\system32\mix C:\Windows\system32\mufl C:\Windows\system32\pori C:\Windows\system32\vepg C:\Windows\system32\Drivers\etc\hp.bak RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData. Należy go usunąć i przywrócić poprzedni, a jeśli poprzedni niedostępny to założyć całkowicie nowy. Czyli: Ustawienia > karta Ustawienia > Osoby > na liście powinien być user0 (to profil utworzony porzez adware). Jeśli to jedyna widoczna "Osoba", skorzystaj z opcji Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Rucek Spybot chyba Ci się pomylił ze SpyHunterem. Spybot nie jest naciągaczem, tylko po prostu przestarzałym programem o bardzo niskiej dziś skuteczności. Arek1 Na przyszłość: trzymaj się konfiguracji FRST podanej tu na forum. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. I preferowana metoda prezentacji raportów to załączniki forum. Nie wykonałeś instrukcji: KLIK. W raporcie multum czynnych sterowników od emulacji: R3 dtlitescsibus; C:\Windows\System32\DRIVERS\dtlitescsibus.sys [30264 2016-03-08] (Disc Soft Ltd) R3 dtliteusbbus; C:\Windows\System32\DRIVERS\dtliteusbbus.sys [47672 2016-03-08] (Disc Soft Ltd) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [381608 2016-03-08] (Duplex Secure Ltd.) U3 aizkh79s; C:\Windows\System32\Drivers\aizkh79s.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder) Opis infekcji Cerber: KLIK, KLIK. Odkodowanie danych jest niemożliwe. Jedyne czym jestem w stanie się zająć, to usunięcie infekcji oraz dodanych przez nią notatek ransom. Zaszyfrowane dane (nie są groźne) to zupełnie odrębne zagadnienie. Na chwilę obecną nie ma żadnego ratunku. Infekcja jest nadal aktywna w Twoim systemie (fałszywe obiekty "Adobe"), czyli szyfruje wszystkie świeżo podpinane dyski, i trzeba podjąć akcje usuwające. To działania doraźne, na dalszą metę sugerowany format dysku systemowego. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [mtstocom] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [sbunattend] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\sbunattend.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [poqexec] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\poqexec.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [DisplaySwitch] => "C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\DisplaySwitch.exe" HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\RunOnce: [mtstocom] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\RunOnce: [sbunattend] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\sbunattend.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\RunOnce: [poqexec] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\poqexec.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Policies\Explorer: [] HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Policies\Explorer: [Run] "C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe" HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe [275236 2015-10-20] (Adobe Systems Incorporated) Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cmdkey.lnk [2016-06-14] Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DisplaySwitch.lnk [2016-06-14] Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mtstocom.lnk [2016-06-14] Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\poqexec.lnk [2016-06-14] Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sbunattend.lnk [2016-06-14] BootExecute: autocheck autochk * sdnclean64.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = CustomCLSID: HKU\S-1-5-21-1877261336-1626017494-2063700226-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1877261336-1626017494-2063700226-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe => Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF SelectedSearchEngine: webssearches FF HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Arek\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi StartMenuInternet: FIREFOX.EXE - firefox.exe DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDScannerService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDUpdateService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDWSCService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SFAUpdater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor C:\ProgramData\mntemp C:\ProgramData\TEMP C:\Program Files (x86)\Smart File Advisor C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF} CMD: netsh advfirewall reset CMD: attrib -r -h -s "C:\# DECRYPT MY FILES #.*" /s CMD: attrib -r -h -s "D:\# DECRYPT MY FILES #.*" /s CMD: del /q /s "C:\# DECRYPT MY FILES #.*" CMD: del /q /s "D:\# DECRYPT MY FILES #.*" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Prócz Spybota, odinstaluj Ace Stream Media 3.1.6. Wbudowany moduł adware preaktywowany po określonym przedziale czasu. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik Fixlog może być ogromny, ze względu na rekursywne usuwanie plików notatek ransom # DECRYPT MY FILES #.* z dysków C i D. Jeśli się nie zmieści w załączniku forum, shostuj gdzieś i podaj do niego link.

Jeśli chodzi wyłącznie o Kosz, to przywrócenie obiektów z niego nie odwróci żadnych działań tu wykonanych.

Muszkers, widzę że drążysz w kółko temat DNS w oparciu o raporty FRST: Temat 1, Temat 2. Sugeruję odczepić się od tego na dobre. Problemem nie jest żaden ESET, infekcje ani inne sprawy pokrewne. To jest problem innej natury i nie bez kozery przesunęłam temat do działu Sieci. ¤¤¤ Rootkity : 7 (Driver: załadowano) ¤¤¤ [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_CREATE[0] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_CLOSE[2] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_POWER[22] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_PNP[27] : Unknown @ 0xfffffa80049f12c0 To nie są "rootkity" tylko efekt aktywności sterownika SPTD od emulacji napędów (DEAMON Tools / Alcohol): Oprogramowanie emulujące napędy Z Twoich poprzednich raportów na Fixitpc: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [560184 2016-02-29] (Duplex Secure Ltd.) U3 a9148jez; C:\Windows\System32\Drivers\a9148jez.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder) To ten sterownik emulacji produkuje hooki notowane w Rogue Killer oraz w GMER:

Skan FRST wykonuje się szybko, nie powinien trwać dłużej niż kilka / kilkanaście minut. W tej sytuacji spróbuj zrobić raporty FRST z poziomu Trybu awaryjnego Windows.

1. AdwCleaner znalazł dużo szczątków adware. Uruchom go ponownie i po kolei wybierz opcję Skanuj + Usuń. Gdy program ukończy czyszczenie, wywołaj opcję Odinstaluj. 2. Zrób skan za pomocą Hitman Pro. Dostarcz log wynikowy, o ile zostanie wykryte coś innego niż FRST64.exe jako "podejrzany plik" (fałszywy alarm). Po ukończeniu czyszczenia możesz go przywrócić. Tak, gdyż w skrypcie było usuwanie tego folderu z dysku: C:\Users\Ja\AppData\Roaming\Mozilla => pomyślnie przeniesiono

Skasuj z dysku plik C:\delfix.txt. Temat zamykam.

Spróbuj uruchomić skaner z poziomu trybu awaryjnego Windows.

Na komunikacie obiekt Comodo, ale dodatkowo zielona obwódka wokół okna FRST, co oznacza że FRST działa wirtualnie w piaskownicy Comodo i żadne zmiany się nie wykonają. FRST nie może działać w piaskownicy, bo nic nie wykona. Proszę autoryzuj program w Comodo oraz wyłącz Comodo całkowicie na czas operacji z FRST.