picasso

Nie pamiętam dokładnie co tam się pokazuje, ale owszem to jest fix działający z automatu: tworzenie punktu Przywracania systemu > szybka korekta usterki > koniec. To nie są infekcje "sieciowe" czy "wirusy" zdolne przenosić się między różnymi komputerami tej samej sieci. Fix FRST wykonany. 1. Skasuj pobrany FRST i jego logi z folderu D:\Pobierane 2. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Reader: KLIK. To wszystko.

Na dostarczonych danych nie da się pracować. OTL to bardzo stary program i nie ma wielu detekcji które są w FRST. Jeśli jest problem z pobraniem i uruchomieniem FRST, wejdź w Tryb awaryjny z obsługą sieci.

To nie był wirus tylko typ adware/PUP ładowany ze sponsorowanych instalatorów, bądź portalowych "downloaderów". Zatwierdziłeś instalację (być może nie zdając sobie sprawy co). Więcej na temat metodologii instalacji: KLIK. MBAM (przede wszystkim) i AdwCleaner wyczyściły prawie wszystko. Na dysku widać tylko drobne odpadki. Czyli tylko akcje "kosmetyczne": 1. Zastosuj narzędzie Fix-it, by usunąć drobny błąd WMI: KLIK. 2. Drobny skrypt doczyszczający w/w, a przy okazji inne szczątkowe wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM-x32 -> DefaultScope - brak wartości Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S4 NvNetworkService; "C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe" [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {453894A0-F5B2-4BEA-B4E9-7E4246264D2D} - System32\Tasks\{65502C18-88D3-4298-93E8-1273309FC944} => pcalua.exe -a D:\Gry\Smite\HiRezGamesDiagAndSupport.exe -c uninstall=all Task: {56CE9D01-B413-4D97-8540-C84F3B68CA82} - System32\Tasks\{C5523E5C-2E3B-4CB4-ACC4-B70D4B1D649A} => pcalua.exe -a "C:\Program Files (x86)\MWSnap\uninstall.exe" Task: {BA49AC66-E9FB-4FDE-B7B6-FA2B1C5EC202} - System32\Tasks\{451E0197-B8FE-4D9E-B3D2-6C5D28AF4163} => D:\Pobierane\Deluxe Ski Jump\Deluxe Ski Jump\Dsj.exe Task: {E8E51847-1016-4AA0-B835-4E7453ED44C4} - System32\Tasks\{4536485E-D9FD-428E-A9E8-C30D9FBF1DB2} => D:\Gry\Kosz2001\Kosz2001.exe Task: {F378FC95-0208-4400-B793-59F2C7BEEAB0} - System32\Tasks\{23B4A29D-A9F1-410B-A947-8486BF921B1C} => pcalua.exe -a "D:\Pobierane\Deluxe Ski Jump.exe" -d D:\Pobierane DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DisableService: PLAY ONLINE. RunOuc RemoveDirectory: C:\AdwCleaner C:\ProgramData\*.* C:\ProgramData\Thunder Network C:\ProgramData\Windows Update C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Public\Thunder Network C:\Users\User\AppData\Local\{C0118625-763F-43E0-950B-510C80027737} C:\Windows\system32\Drivers\etc\hp.bak CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST niesą potrzebne.

Zasady działu jak powinien wyglądać post (opis problemu), jakie logi są tu wymagane i w jaki sposób prezentowane: KLIK. Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę. Dostarcz logi z FRST i GMER. I proszę nie wklejaj logów do posta, tylko dostarcz jako załączniki forum.

Kończymy: 1. Usuń drobny błąd WMI za pomocą narzędzia Fix-it: KLIK. 2. Zastosuj DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK.

Kończymy: 1. Zastosuj narzędzie DelFix. Hitman Pro zaś możesz odinstalować lub zostawić sobie do skanów na żądanie w przyszłości. 2. Wykonaj pełną aktualizację systemu z Windows Update. Obecnie stan fatalny - brak SP1, IE11 i reszty łat. Do instalacji będzie kilkaset łat. 3. Po ukończeniu aktualizacji przywróć Avast.

Wszystkie widoczne szkodniki usunięte. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Jeśli masz włączoną synchronizację, szkodliwe zmiany (w Twoim przypadku SafeFinder) są również nagrywane na serwerze Google. I zmiany te będą przywracane z serwera Google, nie pomoże czyszczenie Google Chrome lokalnie. Czyli chodzi mi o wyczyszczenie z serwera Google danych, a to się dzieje przy resecie synchronizacji. Widzę, że w linkowanym artykule zmieniono treść (tam poprzednio było o resetowaniu synchronizacji). Tu znalazłam nową postać artykułu: KLIK.

Skrypt pomyślnie wykonany. Niemniej czy wykonałeś akcje związane z Google Chrome? I dostarcz nowe skany zrobione już po operacjach w Google Chrome:

Skoro go nie widać, to może folder na dysku jest odpadkiem. Do powyższego skryptu FRST doklej jeszcze te dwie linie: RemoveDirectory: C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki RemoveDirectory: C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gomekmidlodglbbmalcneegieacbdmki

Jeszcze drobne korekty na odpadki po Avast: 1. W Google Chrome odinstaluj rozszerzenie Avast Online Security. 2. Otwórz Notatnik i wklej w nim: Task: {0BC0C6E7-54FC-4D09-A422-C6E1AB297E2D} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S4 sptd; System32\Drivers\sptd.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\avast! sandbox RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Ten chiński zestaw (typ adware/PUP) jest charakterystyczny dla uruchomienia sponsorowanego instalatora lub "downloadera". Wymieniane aplikacje raczej nie wleciały "samoistnie", tylko został uruchomiony jakiś plik, który w łańcuchu instalował te obiekty. W raportach zero oznak tych chińskich instalacji, co sugeruje, że system mógł działać w systemie piaskownicy COMODO i niepożądane zmiany zostały odkręcony po resecie. Czyli nie mam tu do sprzątania żadnych obiektów adware. Natomiast mogę doczyścić inne śmieci / puste wpisy (tylko zmiany muszą być dopuszczone przez COMODO) i wywalić niepotrzebne aplikacje. Aczkolwiek na razie się powstrzymuję, gdyż wspominasz o planowanym formacie, co niejako sugeruje bezsens tej roboty. Ustosunkuj się proszę czy mimo wszystko mam przejść do tych działań.

1. Jedyny wynik do zignorowania to "podejrzany plik", to jest fałszywy alarm na pliku FRST. Reszta wyników do usunięcia za pomocą Hitman. 2. Na wszelki wypadek jeszcze, przed instalacją Avast, zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, by potwierdzić czy nie zostały jakieś szczątki z poprzedniej instalacji Avast.

Plik fixlist usuwam z Twojego posta, jego zawartość jest w moim poście oraz w fixlog. Jeśli chodzi o to, że skrypt owocuje błędem FRST, to ponów próbę w Trybie awaryjnym Windows: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny. Tylko zastosuj skrypt z naniesioną poprawką na początek, który już się wykonał. Czyli nowy fixlist.txt do zapisania: Task: {CB89FE5D-81B9-4051-A7FD-DF229395DA6D} - System32\Tasks\lenovoMuttsDisincliningV2 => Rundll32.exe ScriptsPosting.dll,main 7 1 HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqebI93e0NwtMs8fFEisMHuEuhxqdaStf1zv9facjht4K78RiOemXSepAQQ4IMN6D4ddmr6jmmbudMVyDFnq4Sg1LML HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKU\S-1-5-21-2576432662-3230786984-552761320-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7y CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\Users\lenovo\AppData\Local\MuttsDisinclining C:\Users\lenovo\AppData\Roaming\*.* C:\Users\lenovo\AppData\Roaming\{0AA72162-031C-D2D3-7C26-757935C77ABA} C:\Users\lenovo\AppData\Roaming\Mozilla C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk C:\WINDOWS\SysWOW64\findit.xml RemoveDirectory: C:\Users\TEMP EmptyTemp:

WMI naprawione. A te drobnostki w AdwCleaner to nowa sprawa (ale błaha i zero wpływu na działanie systemu), w poprzednim skanie tych kluczy nie było. Po prostu usuń te wyniki za pomocą AdwCleaner. A na koniec to wiadomo jakie działania.

Odinstaluj AdwCleaner posługując się przyciskiem w głównym oknie. Następnie zrób skan za pomocą Hitman Pro i dostarcz wynikowy log.

Drobny błąd przy przeklejaniu zrobiłeś, załączyłeś w skrypcie tag forum "no parse", dlatego nie skasował się odpadkowy folder G:\ProgramData\ArcaBit. Ręcznie go dokasuj. I jak mówię, po posprzątaniu ogólnym dysków możesz dodać raporty FRST z drugiego systemu.

Te logi się nie nadają do diagnostyki problemu. A problem nie wygląda na infekcję, więc temat przenoszę: ... do działu Hardware na diagnostykę. Dane wymagane działem: KLIK.

Fix FRST pomyślnie wykonany. AdwCleaner znalazł dużo resztek adware. Uruchom go ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń i dostarcz wynikowy log z czyszczenia. Gdy go potwierdzę, zadam kolejny skan innym narzędziem.

Obecnie problemem nie jest PriceFountain lecz DNS Unlocker i zmodyfikowane serwery DNS. Operacje do wdrożenia: 1. Odinstaluj starą wersję Adobe Flash Player 10 ActiveX oraz adware DNS Unlocker version 1.4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1C30139F-F71B-4C0B-BAB7-D18420B9C23F} - System32\Tasks\DNSWALTERS => C:\Program Files (x86)\DNS Unlocker\dnswalters.exe [2016-02-28] () Task: {447D303C-1DCE-45E2-B732-608F4846DDDA} - System32\Tasks\{E4535B86-4D1F-4602-9F8D-CB281C3163F3} => pcalua.exe -a G:\IN2WLN47WW5.exe -d G:\ S3 iscFlash; C:\Users\Marta\AppData\Local\Temp\7zS897A.tmp\iscflashx64.sys [28736 2010-03-25] (Insyde Software) Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{C74DF588-878A-4B72-B940-31E91D33EB54}: [NameServer] 82.163.143.171 82.163.142.173 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\DNS Unlocker C:\ProgramData\{1fbd7107-712c-1} C:\ProgramData\{0fe147f9-312c-1} C:\ProgramData\{05679657-212c-0} C:\ProgramData\{0140438a-012c-0} C:\ProgramData\4492502a C:\ProgramData\daa430b9-06f1-1 C:\ProgramData\daa430b9-35c7-0 C:\ProgramData\daa430b9-3507-1 C:\ProgramData\daa430b9-6f47-0 C:\Users\Marta\AppData\Roaming\PriceFountainUpdateVer CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

Tak, to bardzo niepożądane szkodniki. Są trudności z ich usunięciem ze względu na typ punktu ładowania. Działania do przeprowadzenia; 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware PriceFountain, SafeFinder, Update for PriceFountain. Jeśli będą błędy deinstalacji, nie szkodzi, zajmiemy się potem doczyszczaniem wpisów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Quotenamron\Namdom.dll => C:\ProgramData\Quotenamron\Namdom.dll [361984 2016-04-21] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zathphase.dll => C:\ProgramData\Quotenamron\Zathphase.dll [257536 2016-04-21] () S4 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [1213440 2016-04-21] () [brak podpisu cyfrowego] Task: {CB89FE5D-81B9-4051-A7FD-DF229395DA6D} - System32\Tasks\lenovoMuttsDisincliningV2 => Rundll32.exe ScriptsPosting.dll,main 7 1 HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqebI93e0NwtMs8fFEisMHuEuhxqdaStf1zv9facjht4K78RiOemXSepAQQ4IMN6D4ddmr6jmmbudMVyDFnq4Sg1LML HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKU\S-1-5-21-2576432662-3230786984-552761320-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7y CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\Users\lenovo\AppData\Local\MuttsDisinclining C:\Users\lenovo\AppData\Roaming\*.* C:\Users\lenovo\AppData\Roaming\{0AA72162-031C-D2D3-7C26-757935C77ABA} C:\Users\lenovo\AppData\Roaming\Mozilla C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk C:\WINDOWS\SysWOW64\findit.xml RemoveDirectory: C:\Users\TEMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj OneTab. Rozszerzenie kojarzone z instalacjami adware: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszysrko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition. Dołącz też plik fixlog.txt.

Gdy już ogarniesz układ, możesz zrobić na wszelki wypadek raporty FRST z poziomu tego drugiego systemu. Mogę doczyścić tam ewentualne śmieci. Nie widzę załącznika... Zapomniałam wypunktować, by nie przesadzić i nie załadować zbyt dużo na raz, unikając krzyżowania pewnych funkcji. Np. jeśli EMET, to nie Malwarebytes Anti-Exploit. Zresztą program Malwarebytes nawet wykrywa EMET i nie pozwala się zainstalować. To niby można zmanipulować przestawiając kolejność instalacji, ale nie sądzę, że to dobry pomysł.

W przypadku jeśli na pewno z ustawień na Facebooku usunięto wszystkie aplikacje, a efekt nadal występuje, infekcja rzeczywiście może być na poziomie któregoś z urządzeń. Skoro na telefonie nic jakoby nie przybyło, to tablet z Androidem wydaje się być bardziej podejrzany. Czyli na tablecie: sprawdzić wykaz zainstalowanych aplikacji, przejść na tryb Safe mode urządzenia i wyeliminować wszystkie nieznane / nierozpoznawane aplikacje. W przypadku braku rezultatów klaruje się reset urządzeń do ustawień fabrycznych.

Podaj raporty FRST i GMER z poziomu głównego systemu na którym działasz. Telefon odpada, te programy nie działają na platformach mobilnych.

Widzę, że Fix się chyba zaciął w pierwszym podejściu i drugi raz go uruchomiłeś. Na przyszłość: jeśli Fix (jednorazowego użytku) nie działa / jest błąd, przerwij działanie i nie powtarzaj skryptu, do czasu weryfikacji. W każdym razie zadania wykonane, ale Firefox poprzednio wyglądający na czysty został ponownie zainfekowany adware (obecnie widać przekierowania nicesearches.com). Czyli: 1. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Czyli mam rozumieć, że problem z nieładowaniem stron ustąpił po jego deinstalacji? Avasta przywrócisz po ukończeniu czyszczenia systemu z adware, bo tu jeszcze sporo przed nami. Nie sądzę, aczkolwiek po ukończeniu czyszczenia dla świętego spokoju możesz zmienić login do banku. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\jIxmRfRHTM DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\jIxmRfR DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\jIxmRfR_server_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\jIxmRfR_server_RASMANCS DeleteKey: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\jIxmRfR DeleteKey: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\8011fc28_0 Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v jIxmRfR /f Reg: reg delete "HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.