picasso

Nie zapisałeś pliku fixlist.txt w kodowaniu UTF-8, dlatego jedna z pozycji z chińskimi krzakami w nazwie została przerobiona na pytajniki, które uniemożliwiły poprawne usunięcie. Dokasuję tego śmiecia potem, bo na razie nie jest to takie istotne. Większość wykonana. Został problem modyfikacji DNS, czyli zarażone pliki Windows oraz multum podmienionych serwerów DNS. Wstępnie podaj więcej danych: 1. Uruchom skan sfc /scannow i dostarcz filtrowany raport końcowy: KLIK. 2. Podaj spis wszystkich instancji pliku. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj plików i dostarcz wynikowy log. dnsapi.dll

Niestety nie wygląda na to, by RepairDNS podmienił zainfekowane pliki, gdyż nie znajduje poprawnej niezainfekowanej kopii w systemie. Tym wątkiem zajmę się potem, gdyż wymagane inne działania. Natomiast naprawę FRST ponów z poziomu Trybu awaryjnego Windows: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny.

Nie sprecyzowałeś wyraźnie, że chodzi Ci także o spowolnienie. W tym kontekście mocnym kandydatem jest tandem McAfee AntiVirus + McAfee WebAdvisor, przypuszczalnie preintegrowany w obrazie instalacyjnym Windows. To adres pobrany wcześniej z routera i może być pośrednim znakiem, że router był zainfekowany (np. laptop był tymczasowo wpięty w inną zainfekowaną sieć). Jeśli chodzi o usunięcie tego wpisu z rejestru: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{99F67456-3065-4C2A-ADF3-ADFA8E98F3C7}: [DhcpNameServer] 172.41.1.171 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Jedyne co jest w raporcie zastanawiające, to przypisany amerykański adres IP pobrany wcześniej z routera dla któregoś interfejsu sieciowego (nie wygląda na bieżący): KLIK. Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{266E3DBA-DC97-4756-AB01-BCF7A26362D2}: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{99F67456-3065-4C2A-ADF3-ADFA8E98F3C7}: [DhcpNameServer] 172.41.1.171 Poza tym nie widzę nic podejrzanego, żadnych aktywnych śladów infekcji. Tylko skasuj z Ulubionych tego śmiecia: InternetURL: C:\Users\monik_000\Favorites\Links\Internet .url -> hxxp://searchinterneat-a.akamaihd.net/sh?eq=U0EeE1FXE00SVEEFI14FUApARVZBJAgVUAgTGRgXdggJTFgQFQwOJAhcUwETFwwQeVgMR1sFHFdKMh9IFQQYREBTZlcFKVAWSWZXIVBKEg== Jaki link? Obecnie jest ustawiony poniższy (jest OK) i on właśnie przekierowuje na MSN: HKU\S-1-5-21-2850613821-2380182805-2248431766-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE07&ocid=UE07DHP To normalne i pożądane zachowanie. Cytuję z innego tematu:

Jest tu także m.in. infekcja DNS (zmodyfikowane pliki Windows dnsapi oraz serwery DNS), szkodliwe proxy, zmodyfikowane skróty LNK przeglądarek. Do wykonania następujące działania: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie plik RepairDNS.txt. 2. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver S2 Dhrelrer; "C:\Users\Szymon\AppData\Roaming\Rikfootov\Rikfootov.exe" -cms [X] S2 Eruvwee; "C:\Users\Szymon\AppData\Roaming\LaexuGegobog\Reloace.exe" -cms [X] S2 GoogleChromeUpSvc; C:\ProgramData\Windows Update\svrupg.exe /s GoogleChromeUpSvc /uid:51490 /local:br [X] R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-04-22] () R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-13] (Huorong Borui (Beijing) Technology Co., Ltd.) U3 idsvc; Brak ImagePath HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe HKU\S-1-5-21-4276424981-2713209067-288409091-1000\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Task: {05C3600C-40EC-4E63-9A5F-2105F98D9B7C} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {06F04607-BEF3-49C1-8CEC-D28E2865CBEE} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {17CE9C82-49AF-4C53-AD91-69E85D5D3B5F} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {315CC409-90DB-4AAB-940A-055383D449CD} - System32\Tasks\Uwewbiut => C:\PROGRA~1\Kajajugt\Eiomu.bat Task: {375AB520-D0BD-4F25-8066-0D276CCE3B1B} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {38ACE4A9-F5C4-4F2D-BBA7-77CE0D4A2C13} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {47C8E20E-722F-4192-B6CC-CAE54108152F} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {4BA4A0DB-FC09-4A23-A51E-DF348FC06427} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {533D014E-7401-45B0-AFCF-B4745737BAF4} - System32\Tasks\{09B6534A-E643-43AA-8FC4-53515065EFFB} => pcalua.exe -a C:\Users\Szymon\Desktop\lan.exe -d C:\Users\Szymon\Desktop Task: {53EEFA49-BDEA-4B34-8EA9-16035B9559AD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {6AD6E28B-DEE8-4F9C-A812-C94EBE95C5FE} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {70DAA573-D6D9-4085-978B-526796BE8BF0} - System32\Tasks\{24698712-5384-45EA-B144-B7B90FFE497F} => pcalua.exe -a "C:\Program Files (x86)\CleanBrowser\uninstall.exe" -c /uninstall Task: {76694CB5-F0BE-4A30-A2DA-0CED42C4B3C4} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {77F0CA31-1D3F-4B21-9724-62005C21BE02} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {7AE0A934-88EF-4BAE-9FFD-1EDAD36BCFF7} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {7C642C6E-875A-41A6-A06B-B88C11C6E328} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {7E989495-7D7F-4DCC-94F9-15868417E469} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {820A1FEC-645D-4F32-9770-5779725ED0D4} - System32\Tasks\{4F06C048-A53C-4368-8C98-A1A003A76C1D} => pcalua.exe -a "C:\Program Files (x86)\Common Files\QuoLex\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\QuoLex\uninstall.dat" -a uninstallme 858994B3-EC67-4B59-A854-860E92ED4256 DeviceId=d0601d40-484b-6a4c-1bb7-9b55d2e076ef BarcodeId=51129011 ChannelId=11 DistributerName=APSFSWAds Task: {8D312885-289B-4A98-A0A6-81DD3BC27FD8} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {8EA848ED-229A-4F56-BC52-0E0CCD64845C} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {8EF30688-F407-4FCA-9A53-CD9F276456C8} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B8EDD047-1D5C-4FF8-81A4-88A482C0BEFA} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BE72A21A-3886-4D8D-AA6E-F14415F58F31} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {E4AE84F3-6EEF-44AB-922B-6E44A3605B75} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {F3FA61AE-D7B8-4235-A979-445BA9E3095F} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {F4A227C4-73BA-4C28-AD53-3F2061D5B5EE} - System32\Tasks\Redywo => C:\PROGRA~1\Ekeh\Uosietta.bat ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Users\Szymon\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461330738&a=1053638&src=sh&uuid=c332399b-d8a0-4ac9-b89e-fdbfe0b0dab8" ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Users\Szymon\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\chrome — skrót .lnk -> C:\Users\Szymon\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?34838 HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?34838 HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} SearchScopes: HKU\S-1-5-21-4276424981-2713209067-288409091-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} SearchScopes: HKU\S-1-5-21-4276424981-2713209067-288409091-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} BHO-x32: Cash Kitten -> {9ea7bd36-2d13-4df3-837f-7ac273765e7d} -> Brak pliku CHR HomePage: Default -> search.mpc.am DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\Program Files (x86)\badu C:\Program Files (x86)\osTip C:\Program Files (x86)\UCBrowser C:\ProgramData\hp.exe C:\ProgramData\webad.xml C:\ProgramData\AVG C:\ProgramData\Holdtams C:\ProgramData\Thunder Network C:\ProgramData\Windows Update C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K-Lite Codec Pack\Configuration\madVR.lnk C:\uninst C:\Users\Public\Thunder Network C:\Users\Szymon\AppData\Local\app C:\Users\Szymon\AppData\Local\Avg C:\Users\Szymon\AppData\Local\Tempfolder C:\Users\Szymon\AppData\Local\UCBrowser C:\Users\Szymon\AppData\Local\Yeaplayer C:\Users\Szymon\AppData\LocalLow\Company C:\Users\Szymon\AppData\Roaming\*.* C:\Users\Szymon\AppData\Roaming\gplyra C:\Users\Szymon\AppData\Roaming\LaexuGegobog C:\Users\Szymon\AppData\Roaming\Macromedia C:\Users\Szymon\AppData\Roaming\MCorp C:\Users\Szymon\AppData\Roaming\Rikfootov C:\Users\Szymon\AppData\Roaming\Tueasjey C:\Users\Szymon\AppData\Roaming\UPUpdata C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Windows\ehome C:\WINDOWS\system32\fufj C:\WINDOWS\system32\ire C:\WINDOWS\system32\jevy C:\WINDOWS\system32\kam C:\WINDOWS\system32\kin C:\WINDOWS\system32\kokd C:\WINDOWS\system32\lew C:\WINDOWS\system32\pyau C:\WINDOWS\system32\sisx C:\WINDOWS\system32\sok C:\WINDOWS\system32\sow C:\WINDOWS\system32\tew C:\WINDOWS\system32\ubav C:\WINDOWS\system32\zitk C:\WINDOWS\system32\Drivers\bsdriver.sys C:\WINDOWS\system32\Drivers\cherimoya.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\Tasks\Microsoft\Windows\Media Center CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też pliki fixlog.txt + RepairDNS.txt.

To wygląda na problem tej konkretnej strony, jest sponsorowana reklamami. uBlock Origin reaguje u mnie podczas otwierania niektórych elementów, blokując stronę z komunikatem o zastosowaniu m.in. filtra "adnetworkperformance.com". Notabene: polecam właśnie ten bloker reklam, w zamian za poprzednio używane przez Ciebie AdBlock + Adblock Plus. Jakie "mruganie"? W Google Chrome? Jeśli chodzi o te niemieckie linki, to wstępnie przerób je na zwykłe foldery. Otwórz Notatnik i wklej w nim: Unlock: C:\Dokumente und Einstellungen Unlock: C:\Programme CMD: fsutil reparsepoint delete "C:\Dokumente und Einstellungen" CMD: fsutil reparsepoint delete C:\Programme CMD: dir /a C:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

Skasuj z D FRST i jego logi. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Przede wszystkim mam na uwadze partycję systemową (ale z tym nie musisz się śpieszyć), pozostałe mogą zostać jako "magazyn" zaszyfrowanych plików. Tak, w przypadku zaszyfrowanych danych, nawet jeśli nie ma żadnych widoków na ich odszyfrowanie, na wszelki wypadek zaleca się ich skopiowanie / zachowanie. DelFix wykonał zadanie. Skasuj plik raportu C:\delfix.txt.

Na koniec poczęstuj się DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Może któreś z rozszerzeń jest zmodyfikowane lub plik zasobów resources.pak (obie modyfikacje nie do wykrycia na poziomie raportu FRST). Spróbuj zrobić reinstalację Google Chrome "na czysto": Wyłącz synchronizację, punkt 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Po deinstalacji dokasuj (o ile same nie znikną) foldery: C:\Users\Pawcio\AppData\Local\Google + C:\Program Files (x86)\Google. Zainstaluj Google Chrome i zaimportuj zakładki. Nie instaluj żadnych rozszerzeń, do czasu sprawdzenia czy taka świeża postać Chrome też wykazuje problemy reklam.

Ja jednak sprawdziłabym czy te przekierowania będą występować także przy nieaktywnym rozszerzeniu YouTube Video Downloader. To jedyne rozszerzenie z listy, które budzi wątpliwości ze względu na pochodzenie. Wyłącz je całkowicie, przeładuj Google Chrome i podaj czy są jakieś widoczne zmiany. Jeśli chodzi o niemieckie obiekty na dysku, to oba są linkami symbolicznymi utworzonymi w roku 2014. Usunięciem ich zajmę się potem, bo teraz już prawie wychodzę z domu. 2014-11-20 23:59 Dokumente und Einstellungen [C:\Users] 2014-11-20 23:59 Programme [C:\Program Files]

Jeśli chodzi o problem z włączeniem komponentu .NET Framework 3.5, to na początek zrób skan sc /scannow i przedstaw wynikowy filtrowany raport: KLIK.

Modyfikacje pomyślnie usunięte. Drobne działania dodatkowe: 1. Kosmetyczny skrypt czyszczący lokalizacje tymczasowe i usuwający instalatory sponsorowanego "Avast SafePrice" z Firefox. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF HKLM\...\Firefox\Extensions: [sp@avast.com] - D:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - D:\Program Files\AVAST Software\Avast\SafePrice\FF C:\Users\Michal\Downloads\*.crdownload C:\Windows\system32\Drivers\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest potrzebny. 2. W Dzienniku zdarzeń jest drobny błąd WMI numer 10. Usuń go posługując się narzędziem Fix-it: KLIK.

Na jakich stronach (adresy URL) występują te przekierowania i jakie są przykładowe adresy przekierowań, które próbują się otwierać. Wg FRST natywny język systemu to polski, więc te obiekty albo są wynikiem wcześniejszej instalacji niemieckiego pakietu językowego, albo to resztki po nadpisaniu edycji Windows. Pokaż przykładowy DIR dysku C jak te obiekty wyglądają z poziomu linii komend. Otwórz Notatnik i wklej w nim: CMD: dir /a C:\ CMD: dir /a C:\Programme Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

Raporty z FRST skonfigurowane niezgodnie z wytycznymi w przyklejonym temacie. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. O reszcie felerów z raportami mówił już Rucek. W podanych raportach FRST nie widać żadnych oznak tej infekcji, choć jest ustawione jakieś dziwne proxy. Do wykonania działania poboczne: 1. Do deinstalacji stare wersje Adobe AIR, Java 7 Update 75, Java 8 Update 31, Java SE Development Kit 7 Update 75 oraz program Spybot - Search & Destroy (to obecnie mierny skaner i przeważnie nie rozwiązuje żadnych bieżących spraw infekcji). I skoro zainstalowany ESET Smart Security, to nie dubluj funkcji i pozbądź się COMODO Firewall. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicyScripts: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3125787238-854365603-2573035606-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3125787238-854365603-2573035606-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main FF NetworkProxy: "no_proxies_on", "" FF NetworkProxy: "type", 0 R3 catchme; \??\C:\Users\Sidoruk\AppData\Local\Temp\catchme.sys [X] S3 EverestDriver; \??\D:\EVEREST Home Edition\kerneld.wnt [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] S3 SenFiltService; system32\drivers\Senfilt.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] U3 mbr; \??\C:\ComboFixnew\mbr.sys [X] HKU\S-1-5-21-3125787238-854365603-2573035606-1000\...\Run: [Mobile Partner] => C:\Program Files\PLAY Web partner\PLAY Web partner Task: {374BED84-5D3C-47DD-B1A7-AC82038193AC} - System32\Tasks\{7A998E86-D25C-4FC4-8C2F-CBA1AEC857FF} => pcalua.exe -a C:\Users\Sidoruk\Downloads\VMware-player-12.1.0-3272444.exe -d C:\Users\Sidoruk\Downloads Task: {8A84490B-39BD-4181-8C37-A65F7559F543} - System32\Tasks\{82DD5D82-AEE0-4906-B62E-5AAF4C8E5626} => pcalua.exe -a "C:\Program Files\Analog Devices\SoundMAX\SMax4.cpl" -c SoundMAX Task: {AAD064C1-F276-413D-9A8B-115DD87C22FC} - System32\Tasks\{E5F42BE9-DC75-48F9-91CA-79B1CAEE865D} => pcalua.exe -a K:\Setup.exe -d K:\ Task: {E6E4B37B-3E7D-453B-B8EC-9320A436FF3C} - System32\Tasks\{75B62C3B-89F3-41E5-8B06-716441EE98F1} => pcalua.exe -a C:\Users\Sidoruk\Downloads\VirtualBox-4.3.22-98236-Win.exe -d C:\Users\Sidoruk\Downloads RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Deinstalacja MPC się powiodła, tylko że w trakcie deinstalacji dążył on zmodyfikować ustawienia przeglądarek Firefox i Google Chrome kierując na adres search.mpc.am. Czyli skoryguj tę "robotę": 1. W Firefox: FireFox: ======== FF Homepage: search.mpc.am Menu Ustawienia > Opcje > Po uruchomieniu programu Firefox > w sekcji Strona startowa wymaż adres search.mpc.am zastępując czymś innym. 2. W Google Chrome: Chrome: ======= CHR HomePage: Default -> search.mpc.am CHR StartupUrls: Default -> "search.mpc.am" CHR DefaultSearchURL: Default -> hxxp://search.mpc.am?q={searchTerms}&cx=partner-pub-3796753109442372:3837783968 CHR DefaultSearchKeyword: Default -> MPC Safe Search Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres search.mpc.am, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.mpc.am. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną Google, skasuj z listy MPC Safe Search. 3. Drobna poprawka. Otwórz Notatnik i wklej w nim: S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] DisableService: Mobile Partner. RunOuc DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Temat jedzie do XP. Tu nie ma co szukać infekcji. Do usunięcia byłyby jakieś drobne wpisy puste, ale to na razie nie warte uwagi. Dziennik Aplikacja: ================== Error: (04/19/2016 09:54:26 AM) (Source: MsiInstaller) (EventID: 11719) (User: DOMOWY) Description: Product: OSCAR Editor -- Error 1719.Windows Installer service could not be accessed. Contact your support personnel to verify that it is properly registered and enabled. Czy ten błąd występuje tylko i wyłącznie dla tego konkretnego programu, czy również przy innych programach opartych na Instalatorze Windows? Czy próbowałeś przy wyłączonym COMODO? Nawiasemmówiąc, to stara wersja. Była już tu instalacja Windows Installer 4.5, która przebija ustawienia, ale na wszelki wypadek pokaż jak wyglądają podstawowe komponenty Instalatora. Uruchom SystemLook i do okna wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer /s :filefind msiexec.exe msi.dll msihnd.dll msimsg.dll msisip.dll Klik w Look. Dostarcz raport wynikowy.

Kończymy: 1. Skasuj z folderu C:\Users\Patrycja\Documents\wirus FRST i jego logi. 2. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Posty dla porządku połączyłam, ale już oczywiście odpowiadasz w nowym. Szkodnik "MPC Cleaner" nie ma deinstalatora na liście programów, ale w jego folderze jest plik umożliwiający deinstalację. Działania do wykonania: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalatora "Uruchom jako administrator". Po deinstalacji zresetuj system. 2. Za dużo antywirusów. Odinstaluj tradycyjnie via Panel sterowania Microsoft Security Essentials. 3. W Firefox w menedżerze dodatków odinstaluj stare niepodpisane cyfrowo rozszerzenia: Alexa Toolbar, Widevine Media Optimizer. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 rimipirozbt; C:\Program Files (x86)\4C4C4544-1461421464-3310-804C-C6C04F475431\knsiE588.tmpfs [X] S3 EverestDriver; \??\C:\Users\ja\AppData\Local\Temp\EverestDriver.sys [X] HKLM-x32\...\Run: [mpck_en_005030307] => [X] HKLM-x32\...\Run: [snp2uvc] => C:\Windows\vsnp2uvc.exe HKLM-x32\...\Run: [tsnp2uvc] => C:\Windows\tsnp2uvc.exe FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-01-30] C:\Program Files (x86)\4C4C4544-1461421464-3310-804C-C6C04F475431 C:\Program Files (x86)\MPC Cleaner C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\ja\AppData\Local\app C:\Users\ja\AppData\Roaming\MCorp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź też, że zmodyfikowane skróty LNK przeglądarek ustawione na otwieranie strony startbook.com to celowa modyfikacja.

Temat przenoszę do działu Windows. To nie jest problem infekcji. 1. Informacje o procesorze i pamięci są pobierane via WMI. W raporcie zaś adnotacja, że WMI nie działa poprawnie: ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. "Provider load failure" - Na tym komunikacie są jakieś konkretne detale? I w przypadku tego komunikatu wypadałoby zdiagnozować o którą klasę chodzi przy udziale wbudowanego w system narzędzia wbemtest.exe lub skryptu PowerShell. Ale ja się zastanawiam czy naruszenia WMI nie nastąpiły podczas kombinacji z crackowaniem Windows. W Harmonogramie zadań startuje obiekt cracka: Task: {7D0D765C-3505-4D49-A729-9CBDEFA7FF13} - System32\Tasks\KMSAutoNet => C:\ProgramData\KMSAutoS\KMSAuto Net.exe [2015-10-01] (MSFree Inc.) Sprecyzuj więc: od kiedy występuje problem z poborem danych, czy nie zazębia się z tymi kombinacjami, czy działanie cracka było już odwracane? Przywracania systemu użyć nie można, bo jest wyłączone, zresztą przy dysfunkcjach WMI i tak może nie działać poprawnie. 2. Wolno działający internet niekoniecznie powiązany z powyższym, o ile w grę nie wchodzi jakaś klasa sieciowa WMI zmanipulowana przez crack. Alternatywnym podejrzanym byłby Kaspersky Internet Security.

Ale przedstaw ostatni wynikowy plik fixlog.txt.

No właśnie, a podejrzewałam, że obierzesz inną metodę dla Firefox i zapomniałam powiedzieć, że deinstalacja Firefox i tak nie załatwia sprawy, zostaje na dysku cały profil Firefox oraz klucze rozszerzeń i wtyczek w rejestrze. W podanym tu raporcie FRST widać brak zmian w skanie Firefox, pomimo że "odinstalowany". Nowa instalacja Firefox w przyszłości zaadaptowałaby zaśmiecony profil i Firefox byłby od razu zanieczyszczony po jakoby "świeżej" instalacji. Należy więc usunąć wszystkie elementy Firefox. Czyli poprawki: Otwórz Notatnik i wklej w nim: S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\Patrycja\AppData\Local\Mozilla RemoveDirectory: C:\Users\Patrycja\AppData\Roaming\Mozilla CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Poczekam na raport końcowy. Do wykonania będą jeszcze czynności końcowe.

Wielkie dzięki za dotację. Temat rozwiązany. Zamykam.

1. Skąd tu wiadomo, że chodzi o "CryptoLocker" (nie podałeś jaką formę nazwy otrzymały zaszyfrowane pliki), to stara infekcja. Prawdopodobnie nadziałeś się na formę posługującą się tą nazwą na komunikacie ransom, ale to nie była infekcja CryptoLocker tylko jej nowocześniejszy copycat / klon. Podobny temat z forum: KLIK. Nie jest możliwe odkodowanie plików najnowszych wariantów wskazywanych w linku. 2. Odzysk z kopii cieniowej (Przywracanie systemu) i tak w 99% przypadkach niewykonalny lub nie prowadzi do niczego. Te infekcje kasują wszystkie punkty Przywracania systemu. A nawet jeśli cudem się ostaną na skutek błędu infekcji lub raptownego przerwania jej procesu, to dotyczy to tylko dysku systemowego z Windows. Przywracanie systemu jest domyślnie wyłączone na wszystkich innych dyskach, a infekcja atakuje wszystkie dostępne dyski lokalne i sieciowe, gdzie Przywracanie systemu nie sięga. I na dodatek tu jest XP, system ma mierny mechanizm Przywracania systemu, nie działa on na tej samej zasadzie co w nowszych systemach.