picasso

Miałam na myśli Mini Monitoring = keylogger. Ale dlaczego ładujesz nowe instalacje, które tylko zaciemniają problem i go mogą pogłębić. Nie zadałam instalacji NOD, ani żadnego innego skanera, gdyż: - Nie było to potrzebne, na podstawie raportów już stwierdziłam, że problem obciążenia nie jest wynikiem infekcji, gdyż nie ma żadnych aktywnych jej elementów (wpis infekcji był wyłączony w Menedżerze). - Poprzednio ESET nawet nie był odinstalowany poprawnie i nowy log FRST miał potwierdzić skuteczność użycia narzędzia czyszczącego ESET. - Nie instaluje się nowych kobył (każdy antywirus jest takową), gdy jest problem obciążenia dysku. To co się wtedy robi, to po kolei redukuje kolejne. Miała być sprawdzona sytuacja po usunięciu szczątków ESET przy pozostawieniu AVG, teraz już nie wiadomo jak działał system w takiej kombinacji, skoro komponenty NOD znów wskoczyły na miejsce. - Kwarantanny innych narzędzi nie zostały wyczyszczone, by zapobiec detekcji rzeczy już usuniętych, bo ten etap miał być dopiero zadany. Te wyniki NOD są w większości bez znaczenia. On wykrył głównie obiekty już usunięte (kwarantanny C:\AdwCleaner i C:\FRST\Quarantine). Reszta to drobnostki adware/PUP i nie ma to wpływu na system. To co w istocie wykrył NOD to tylko trzy pliki *-dp.exe "Asystenta pobierania" dobrychprogramów, szczątkowy folder adware i plik w folderze Alcohola, instalator uTorrent (jest sponsorowany) i niepożądane aplikacje "boosterowe" w folderze WinZIP: C:\Ewelina\Programy\yt\YTD-Video-Downloader(27896)-dp.exe - odmiana zagrożenia Win32/InstallCore.ADX.gen potencjalnie niepożądana aplikacja - usunięty C:\Michał\Ked\kED(11810)-dp.exe - odmiana zagrożenia Win32/InstallCore.ACZ potencjalnie niepożądana aplikacja - usunięty C:\Michał\VSO Downloarder\VSO-Downloader(35453)-dp.exe - odmiana zagrożenia Win32/InstallCore.ACZ potencjalnie niepożądana aplikacja - usunięty C:\Program Files (x86)\69dc8177-a574-4dff-8461-b3267b078dcf\df39313b-a6cf-4d63-af6f-f56dc07d9775.dll - odmiana zagrożenia Win64/Toolbar.Crossrider.P potencjalnie niepożądana aplikacja - usunięty C:\Program Files (x86)\Alcohol Soft\69dc8177-a574-4dff-8461-b3267b078dcf.dll - odmiana zagrożenia Win64/Toolbar.Crossrider.P potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSS.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSHelper.dll - odmiana zagrożenia Win32/Systweak.N potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSPrivacyProtector.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSRegClean.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSRegistryOptimizer.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSSystemCleaner.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\Users\Ewelina\AppData\Roaming\uTorrent\updates\3.4.2_32354.exe - odmiana zagrożenia Win32/AdkDLLWrapper.A potencjalnie niepożądana aplikacja - usunięty Jeśli chodzi o wykonane zadania to niekompletnie. Nie został odinstalowany AVG Web TuneUp. Poza tym, jak mówię, teraz po ponownym doładowaniu ESET nie wiadomo jak wpływa na stan, bo przedtem też były jego komponenty aktywne i w tym kontekście sytuacja bez zmian.

Ja tylko dodam: + Oba błędy wskazują, że jest uruchomione 32-bitowe środowisko WinRE. - W takim przypadku FRST też musi być 32-bitowy, niezależnie od tego, że zainstalowany Windows jest 64-bitowy. - A do opcji Napraw dla systemu 64-bit wymagana jest płyta z 64-bitowym WinRE.

Tym razem skrypt wykonany. Poprawki: 1. Nie odinstalowałeś starych niebezpiecznych wersji: Gadu-Gadu 7.7, Gadu-Gadu 10, Java 6 Update 33, OpenOffice.org 3.2, Opera 12.16, Skype™ 3.8, Skype™ 5.0. Notabene, skróty tej Opery są zainfekowane adware, ale nie naprawiam tego wskazując całkowitą deinstalację przeglądarki. 2. Profil Firefox nie został zresetowany, nadal widać w nim preferencje adware. Wdróż zadanie. 3. Drobne doczyszczanie. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{48704EAC-685D-B774-0DED-35B8B9E36F21} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YahooProvidedSearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\MySearchDial Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

To nie wirus lecz adware, nabyte na jeden z tych sposobów: KLIK. Problemem są polityki oprogramowania Google Chrome. Widzę, że próbowałeś reinstalować Chrome - to w ogóle nie znosi polityk, które są w ustawieniach Windows a nie przeglądarki. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Java 8 Update 31, Java 8 Update 31 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2661465676-2700134935-1706851539-1000\...\Policies\Explorer: [] HKU\S-1-5-18\...\Policies\system: [DisableLockWorkstation] 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-2661465676-2700134935-1706851539-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku R2 DeskTop_F; C:\ProgramData\desktopfind\desktop154.exe [236728 2016-03-16] (DeskTopService) S3 ACTION_SVC; C:\Program Files (x86)\Mirillis\Action!\action_svc.exe [X] S2 Mobizen plugin; C:\Program Files (x86)\RSUPPORT\MobizenService\MobizenService.exe [X] S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_6; \??\C:\Program Files (x86)\Setup Files\Ms7918v270\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] Task: {0FA77FEE-5020-464F-9188-A8FEE2FEF1E1} - System32\Tasks\{C4826B9C-9163-4EE0-8C05-90A7823C6790} => C:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {69D6D99F-2F31-48A7-A630-07E183885877} - System32\Tasks\{2853754E-4E94-49EA-B8E9-65CFCA300796} => C:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {E0D3C72C-6B91-4D4A-877E-0A8A9ABC734E} - System32\Tasks\{4B8B444C-BECB-4C00-92FA-38D798154991} => C:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {EC46A566-5B95-43DB-8120-11280C680BF0} - System32\Tasks\{43AB4FCF-B0DF-4B00-BE19-72AB77A3A9CD} => C:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {F8356014-3187-4563-B199-571B823E6DAA} - System32\Tasks\{96276F2E-C912-476F-BD02-4567B26A7C77} => C:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {FB427E05-3E4B-40AA-AD65-3FC7918C7006} - System32\Tasks\{6745D232-4E09-40F0-BD3E-7DD8A1CDFADA} => C:\Program Files (x86)\Mirillis\Action!\Action.exe HKU\S-1-5-21-2661465676-2700134935-1706851539-1000\Software\Classes\.exe: => DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\desktopfind C:\ProgramData\DwinpD C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\Users\Jacur\Workaround.vbs C:\Users\Jacur\AppData\Local\{*} C:\Windows\system32\*.tmp C:\Windows\system32\Drivers\etc\hosts.txt C:\Windows\SysWOW64\pl.html Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Powyższy skrypt odblokuje ustawienia Google Chrome. I wykonaj te czynności: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem prawdziwego Google. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jacur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Przedstaw raport AVG pokazujący te wyniki, gdyż w raporcie mało co już widać. Na teraz lekkie doczyszczanie odpadkowych wpisów (puste wpisy i skróty po odinstalowanych aplikacjach): 1. Odinstaluj stare wersje i zbędne programy: Adobe Flash Player 20 ActiveX, Adobe Flash Player 20 NPAPI, Adobe Reader 9.5.0 - Polish, Akamai NetSession Interface, HP Deskjet Ink Adv 2060 K110 — badanie mające na celu poprawę produktów, Java 7 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 38a94c45; "C:\Windows\system32\rundll32.exe" "c:\Program Files\RelayEdit\RelayEdit.dll",serv S2 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S1 iSafeKrnl; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S1 iSafeKrnlKit; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 iSafeKrnlR3; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys [X] S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] S3 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {648295B6-52FD-4F96-9A08-194CEAEEEDF9} - System32\Tasks\avast! Emergency Update Task: {7082E1B6-995D-4979-993F-B3EAF7EBC7DB} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-04] (AVAST Software) Task: {CE8FDB9C-E21F-4E88-ABEA-6A4C5B60FAD2} - System32\Tasks\{3B66E4D9-A5D3-477A-8130-332CFEE52628} => pcalua.exe -a C:\Users\User\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt Task: {E5A99B75-105D-42BA-A22A-24928CE48FCD} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [spotify Web Helper] => "C:\Users\User\AppData\Roaming\Spotify\SpotifyWebHelper.exe" HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [DAEMON Tools Lite] => "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [spotify] => "C:\Users\User\AppData\Roaming\Spotify\Spotify.exe" -autostart -minimized CustomCLSID: HKU\S-1-5-21-654294337-137298605-2700608432-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\User\Downloads\BESTplayer.exe => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1428306487&from=smt&uid=HitachiXHTS723216L9A360_090110FC1200NCGB5NNDX&q={searchTerms} HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1428306487&from=smt&uid=HitachiXHTS723216L9A360_090110FC1200NCGB5NNDX&q={searchTerms} HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp SearchScopes: HKLM -> DefaultScope - brak wartości FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\hms6nq8j.default\extensions\fftoolbar2014@etech.com => nie znaleziono CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{38a94c45} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Program Files\Common Files\AV\avast! Antivirus C:\ProgramData\AVAST Software C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{C979F558-BE78-45FE-8157-8D0F909054CB} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EdHTML v5.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firaxis Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hearthstone C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of the Storm C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NewFeature1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PIT Format 2015 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spolszczenie do Sid Meier's Pirates instalka by Termez & AliG C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II C:\Users\Gość\Desktop\YouTube Accelerator.lnk C:\Users\Gość\AppData\Local\Microsoft\Windows\GameExplorer\{755E6C26-9D08-4868-92BB-3B5AEF3BB8C7} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{C979F558-BE78-45FE-8157-8D0F909054CB} C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\BitTorrent.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\EdHTML v5.0.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\osu!.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Spotify.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj*.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Telegram Desktop C:\Windows\System32\Tasks\AVAST Software CMD: netsh advfirewall reset Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam. I wielkie dzięki za wsparcie.

vs. ==================== Konta użytkowników: ============================= mibfsotnvaj (S-1-5-21-1593122494-3413122874-2295387288-1004 - Limited - Disabled) Widziałam je już wcześniej w raporcie FRST i miałam nawet na końcu języka, by przypadkiem nie szukać "infekcji" w tym miejscu. To losowe konto utworzone przez ESET Smart Security. Sporo takich tematów było już na forum, np: KLIK / KLIK.

Problemem jest infekcja routera a nie Windows. Zakolorowany adres IP pobierany z routera jest brytyjski: KLIK. IP pod którym Cię zaś widzę na forum wskazuje, że masz polskiego dostawcę Netia. Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Tcpip\..\Interfaces\{c39e5ce8-aafb-4604-aa04-480efa2f9e21}: [DhcpNameServer] 80.243.191.66 8.8.8.8 Do wykonania co następuje: 1. Czyszczenie routera. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Czyszczenie cache DNS i przeglądarek plus usunięcie szczątków po deinstalacji przeglądarek. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns HKLM-x32\...\Run: [] => [X] C:\Program Files (x86)\Google C:\Program Files (x86)\Opera C:\Users\Michael Jackson\AppData\Local\ACCCx3_5_1_209.zip.aamdownload C:\Users\Michael Jackson\AppData\Local\ACCCx3_5_1_209.zip.aamdownload.aamd C:\Users\Michael Jackson\AppData\Local\Google C:\Users\Michael Jackson\AppData\Local\Opera Software C:\Users\Michael Jackson\AppData\Roaming\Opera Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj jaki model routera jest używany.

Czy Windows był instalowany z nośnika pobranego "na lewo", np. z torrent? Raport conajmniej sugeruje matactwa aktywacji (charakterystyczne błędy w Dzienniku zdarzeń), co nasuwa podejrzenie, że nośnik też nie był oryginalny. Nieumiejętna edycja źródła Windows na poziomie obrazu instalacyjnego mogłaby skutkować podobnym odczytem SFC. Ważność naruszeń jest dla mnie nie do określenia, one wydają się być "błahe" (i nazwet zaznaczyłam, że nie jest pewne jaki to ma wpływ), ale już nieraz miałam przypadki, że pozornie drobne naruszenia jednak stanowiły problem. Na razie ten wątek ignoruję, w razie czego reinstalacja Windows z pewnego niemodyfikowanego nośnika. Problem podstawowy rozwiązany, teraz mogę przejść do czyszczenia śmieci. Ten wpis adware BingSvc już usunąłeś w międzyczasie, więc tylko drobne kosmetyczne usuwanie pustych wpisów i naleciałości po użyciu ComboFix. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1254553527-1768904880-4206112929-1000\...\Run: [uTorrent] => %APPDATA%\uTorrent\uTorrent.exe HKLM-x32\...\RunOnce: [innoSetupRegFile.0000000001] => "C:\Windows\is-7T4E8.exe" /REG /REGSVRMODE HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1254553527-1768904880-4206112929-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main S3 catchme; \??\C:\ComboFix\catchme.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Nic więcej z raportów nie wynika. Czy komputer jest na gwarancji? Sugeruję zgłoszenie problemu do producenta. Skoro nowy ledwo co rozpakowany komputer wykazuje takie objawy, to defekt zdaje się być fabryczny i nie ma co więcej grzebać.

Proszę dołącz wszystkie oryginalne logi FRST i GMER oddzienie w postaci załączników forum. Spróbuj zrobić to z poziomu Trybu awaryjnego z obsługą sieci.

Dwa? W logu był tylko jeden widoczny, czyli Adblock Plus. No chyba że po założeniu tematu jeszcze coś domontowałeś. Dwa adblocki mijają się z celem: obciążenie przeglądarki, poza tym wysokie prawdopodobieństwo replikacji filtrów, wiele używa tego samego zestawu "EasyList". Poleciłam Ci uBlock Origin, gdyż w mojej opinii jest lepszy i lżejszy niż Adblock Plus, i jak już powiedziane domyślnie lepiej skonfigurowany. Na początek trzeba zdefiniować jakie usługi są pod niego podczepione. Prawoklik na to wystąpienie svchost.exe > Przejdź do usług > wypisz wszystkie które zostaną zakreślone.

Log z FRST nie został zrobiony na ustawieniu o które prosiłam, miałeś odznaczyć (domyślnie zaznaczone) pozycję Usługi i Sterowniki, co wyłącza filtrowanie. Raport Shortcut nie jest po raz kolejny potrzebny (usuwam). A jeśli chodzi o potencjalne filtry sprzętowe, to na klawiaturę jest nałożony filtr ESET (ekbdflt). Od kiedy ten ESET siedzi, czy został zainstalowany już po wystąpieniu problemów? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Class REG_SZ Keyboard ClassDesc REG_SZ @%SystemRoot%\System32\SysClass.Dll,-3002 UpperFilters REG_MULTI_SZ ekbdflt\0kbdclass IconPath REG_MULTI_SZ %SystemRoot%\System32\setupapi.dll,-3 NoInstallClass REG_SZ 1 Swoją drogą to deinstalacja programu ASUSa nie usunęła jego sterownika, choć jest on obecnie w stanie "zatrzymano": S3 ATP; C:\Windows\System32\drivers\AsusTP.sys [97680 2015-08-23] (ASUS Corporation) I czy sprawdzałeś stronę producenta laptopa pod kątem aktualizacji sterowników?

Ależ ... prawie nic się nie wykonało z punktu 3! Zdewastowałeś skrypt do FRST, uruchomiłeś na stronie forum translator przeglądarki, która niepotrzebnie "przetłumaczyła na polski" mój post, w konsekwencji do Notatnika wkleiłeś bzdury! Skrypt nie może być poddawany żadnym manipulacjom, ma być wklejony tak jak go widać na stronie nie przetłumaczonej. Powtarzaj punkt 3. Po tym nowe logi FRST, miałeś dostarczyć dwa: FRST + Addition.

Raporty FRST skonfigurowane niezgodnie z ustawieniami forum, opcje Lista BCD, MD5 sterowników oraz Pliki z 90 dni nie miały być zaznaczone. Masa zbędnych danych, które służą do analizy rzeczy bardzo rzadko już tu występujących. Te "4 rootkity" to raczej fałszywe alarmy. GMER oznacza komponenty stricte systemowe (usługi Instalator Modułów Windows + Windows Defender) jako "rootkit", a taki odczyt m.in. może występować jeśli system jest mało responsywny / bardzo obciążony. Service C:\WINDOWS\servicing\TrustedInstaller.exe (*** hidden *** ) [AUTO] TrustedInstaller Service C:\WINDOWS\system32\drivers\WdBoot.sys (*** hidden *** ) [bOOT] WdBoot Service C:\WINDOWS\system32\drivers\WdFilter.sys (*** hidden *** ) [bOOT] WdFilter Service C:\Program Files (x86)\Windows Defender\MsMpEng.exe (*** hidden *** ) [AUTO] WinDefend Natomiast w raportach FRST owszem widać elementy infekcji: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Run: [spoolsv32] => "C:\WINDOWS\system32\javaw.exe" -jar "C:\Users\Ewelina\AppData\Roaming\Win32\spoolsv32.jar" Dodatkowo, są ślady instalacji programu śledzącego w typie Mini Monitoring / Oko szefa - czy to była celowa instalacja? HKLM-x32\...\Run: [dtmcfg] => C:\Pliki Systemowe\Nod\x94\dtmcfg\dtmcfg.exe [1304576 2010-05-31] (Dyzmond Software) Ale te elementy nie mają związku z obciążeniem, one zostały już wyłączone za pomocą Menedżera zadań Windows 10. Wysokie obciążenie to raczej z powodu katastrofy w antywirusach, tu działają wspólnie: majdan AVG z niepoprawnie odinstalowanym ESET, a na dokładkę jeszcze lewy skaner SpyHunter 4. Są też odpadkowe sterowniki po odinstalowanym MBAM. [hr] Czyli następujące operacje do wdrożenia: 1. Wejdź w Tryb awaryjny Windows. Zastosuj ESET Uninstaller. 2. Opuść Tryb awaryjny. Klawisz z flagą Windows + X > odinstaluj stare wersje i zbędne aplikacje: Adobe Reader X (10.1.12) MUI, AVG Web TuneUp, Java 7 Update 45 (64-bit), Java 7 Update 67, SpyHunter 4. Jeśli będzie jakiś problem z deinstalacją SpyHunter, skorzystaj z narzędzia SpyHunterCleaner. 3. Doczyszczanie głównie wpisów szczątkowych / pustych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [dtmcfg] => C:\Pliki Systemowe\Nod\x94\dtmcfg\dtmcfg.exe [1304576 2010-05-31] (Dyzmond Software) Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Run: [spoolsv32] => "C:\WINDOWS\system32\javaw.exe" -jar "C:\Users\Ewelina\AppData\Roaming\Win32\spoolsv32.jar" HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Run: [Mobile Partner] => C:\Michał\net\Huawei E5372\Huawei E5372 HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Policies\system: [DisableLockWorkstation] 0 S3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [25816 2015-10-05] (Malwarebytes) S3 MBAMWebAccessControl; C:\WINDOWS\system32\drivers\mwac.sys [64216 2015-10-05] (Malwarebytes Corporation) Task: {15975FC2-5B99-4383-9B25-15AA19F9F119} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2A6FA746-EB11-4570-BC22-469993C1013D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2CC9561D-3A76-422E-92E2-DBDC12D77442} - System32\Tasks\{C92E8478-8A1B-4260-9F34-2208E48FC04A} => pcalua.exe -a C:\Users\Ewelina\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {4A346F29-9A1F-4170-AC6C-548A483D37ED} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {56D6AF1C-2A8A-43EF-B32A-C049B9BA6982} - System32\Tasks\SAgent => C:\Program Files\Samsung\S Agent\CommonAgent.exe Task: {5D81EFE7-157C-49DF-B9B2-CB0B8AE380CC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {68FB1AAE-B47A-4277-BF97-BD96C0E382F1} - System32\Tasks\{AF6DA228-E8C6-41F2-940A-CC5D7D3BB0F7} => pcalua.exe -a "C:\Users\Ewelina\AppData\Local\Europa Casino\internalEuropaSetupUninstall1389109868205_7f2d9b_pl.exe" -c /executeuninstall /trafficsource='caver3' /profile='nasdec' /userid='BEC57A6FA8B94421BD22FA925046BB5FUI' /skinid='new' Task: {768779C3-5474-4F17-8989-F74DD1E20EC8} - System32\Tasks\{DD7B7164-27AC-4565-B9B1-D33BD5CD1E95} => pcalua.exe -a "C:\Users\Ewelina\AppData\Local\Casino Tropez\internalTropezSetupUninstall1389092744832_b8b35_pl.exe" -c /executeuninstall /trafficsource='nokws' /profile='main' /userid='EBD63FB308FA42E59D2AEE043035711FUI' /skinid='new_icons' Task: {78A79BB3-898C-46DA-ACC9-5A0CBD07FB60} - System32\Tasks\{479D3E8A-4F12-4A79-B087-431F2D86E932} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {7EB1AF35-A4DA-46EF-80E2-D19D9B1832C3} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {8A98AC78-7436-4386-8301-97D7C461D66F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {8D866BB0-ABE6-4A6D-985F-F037221E770D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {B4FA2981-E0F1-40DD-B0E9-5C30DFEAD341} - System32\Tasks\{6DA83E79-4B81-4235-A50B-1D8136A9B60E} => pcalua.exe -a "C:\Program Files (x86)\Image-Line\Shared\uninstall.exe" Task: {B670F1A1-0469-4E73-9A91-20E4CEFD8BC2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {C5487043-BFB8-4950-833D-4BF8EEF66485} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C74D8655-68A6-44B6-AFDD-2027ADD4043B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C89D345F-6F07-4E63-96CF-6DDC6A140EFC} - System32\Tasks\{76BA7823-6504-4749-AEC9-8988F970AAE7} => pcalua.exe -a D:\SETUP.EXE -d D:\ Task: {CEA24034-8B61-4300-8876-9CCDD8BD91B7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {D3374684-E6B4-4A61-9A0F-4DB8AB6165FA} - System32\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon Task: {D52743E4-45F4-4984-8789-94B094663400} - System32\Tasks\{7E90E837-52B3-4B5D-81F4-081969A70FA1} => pcalua.exe -a "C:\Users\Ewelina\Desktop\Tibia Map Installer.exe" -d C:\Users\Ewelina\Desktop Task: {D56326A5-290B-483F-A72B-A5CAD07C844A} - System32\Tasks\{DC67236D-08AD-4A49-A111-21C533702C4F} => pcalua.exe -a "C:\Program Files (x86)\Common Files\myCuteBuddy\Bootstrapper{4.wfBHCKiGLgWE12.102}.exe" Winsock: Catalog5 01 C:\WINDOWS\SysWOW64\napinsp.dll [55808 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\napinsp.dll" Winsock: Catalog5 02 C:\WINDOWS\SysWOW64\pnrpnsp.dll [70656 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll" Winsock: Catalog5 03 C:\WINDOWS\SysWOW64\pnrpnsp.dll [70656 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll" Winsock: Catalog5 04 C:\WINDOWS\SysWOW64\NLAapi.dll [65024 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 C:\WINDOWS\SysWOW64\mswsock.dll [312160 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 06 C:\WINDOWS\SysWOW64\winrnr.dll [23552 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\winrnr.dll" CustomCLSID: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> Brak ścieżki do pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={F6612E51-E9EF-489D-8641-0BFF948889D6}&mid=7a80442b378d47cca1dcf1c0c2f5592d-5233c8df0424be70114540273ff17c4401ab22ac&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-04-13 15:09:02&v=4.2.9.726&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={F6612E51-E9EF-489D-8641-0BFF948889D6}&mid=7a80442b378d47cca1dcf1c0c2f5592d-5233c8df0424be70114540273ff17c4401ab22ac&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-04-13 15:09:02&v=4.2.9.726&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={F6612E51-E9EF-489D-8641-0BFF948889D6}&mid=7a80442b378d47cca1dcf1c0c2f5592d-5233c8df0424be70114540273ff17c4401ab22ac&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-04-13 15:09:02&v=4.2.9.726&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001 -> {F2E48B17-78B7-406A-BE47-7FB63603E514} URL = BHO: Brak nazwy -> {89BDDABE-B308-89D1-AB93-14E8F6D8CDB3} -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RGSC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AlcoholAutomount /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "BIL Start" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v spoolsv32 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v vilanscr.exe /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CnxMon.exe " /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "EA Core" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v MyCuteBuddy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Cudanv /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v egui /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLMLServer_For_P2G8 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Intel AppUp(SM) center" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RemoteControl10 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v WinPatrol /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "BIL Start" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v dtmcfg /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v vProt /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f C:\Program Files (x86)\fwmdpwclxd C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ivo C:\Users\Ewelina\AppData\Local\nsq925.tmp C:\Users\Ewelina\AppData\Local\Google C:\Users\Ewelina\AppData\Local\Mozilla C:\Users\Ewelina\AppData\Local\Sparta C:\Users\Ewelina\AppData\Roaming\*.* C:\Users\Ewelina\AppData\Roaming\Nature C:\Users\Ewelina\AppData\Roaming\PDEs C:\Users\Ewelina\AppData\Roaming\Pipe Organ C:\Users\Ewelina\AppData\Roaming\Mozilla C:\Users\Ewelina\AppData\Roaming\sparta111 C:\Users\Ewelina\AppData\Roaming\WarThunder C:\Users\Ewelina\AppData\Roaming\Win32 C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia Map Viewer C:\Users\Ewelina\Documents\Bajki dla dzieci\YTD Video Downloader.lnk C:\Users\Ewelina\Documents\MAGIX\Video_deluxe_MX_Download_Version\Pokaz zdjęć z muzyką.lnk C:\Users\Ewelina\Documents\MAGIX\Video_deluxe_MX_Download_Version\_TV Anti Cropping.LNK C:\WINDOWS\msdownld.tmp C:\WINDOWS\system32\drivers\mbam.sys C:\WINDOWS\system32\drivers\mwac.sys C:\WINDOWS\SysWOW64\HRUPPROG.TXT C:\WINDOWS\SysWOW64\HRUPPROG.EXIT Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. [Jeśli keylogger instalowany celowo, wykreśl ze skryptu linię z dtmcfg] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wg wytycznych z forum, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa w działaniu.

1. Zrób nowe raporty FRST na następującym ustawieniu: odznaczone pola Usługi + Sterowniki, by pokazały się wszystkie obiekty. 2. Dodatkowo jeszcze podaj mi wyciąg z rejestru jak wyglądają klasy myszy i klawiatur (to pod kątem ewentualnych filtrów sprzętowych). Tzn. otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4d36e96f-e325-11ce-bfc1-08002be10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{745a17a0-74d3-11d0-b6fe-00a0c90f57da} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt. 3. Wejdź na stronę producenta i wyszukaj jakie aktualizacje sterowników są dostępne dla Twojego modelu.

Czy sprawdzałeś ustawienia tej aplikacji co tam w ogóle jest? Jeśli chodzi o wyłączenie zaplanowanego zadania w Autoruns, to jeszcze musisz zresetować system, bo operacja nie odładowuje przecież już uruchomionych w tle procesów (aż trzy). Jeśli po restarcie też będzie problem, to do wypróbowania całkowita deinstalacja ASUS Smart Gesture, która powinna zlikwidować też powiązany sterownik Asusa filtrujący urządzenia. ==================== Procesy (filtrowane) ================= (AsusTek) C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLoader.exe (AsusTek) C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPCenter.exe (AsusTek) C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPHelper.exe ===================== Sterowniki (filtrowane) ========================== R3 ATP; C:\Windows\System32\drivers\AsusTP.sys [97680 2015-08-23] (ASUS Corporation)

To w takim razie czy to przypadkiem nie jest problem gestu myszy/touchpada? Jedyne co w raporcie FRST się łączy z tym, to firmowy program ASUS Smart Gesture: ==================== Zainstalowane programy ====================== ASUS Smart Gesture (HKLM-x32\...\{4D3286A6-F6AB-498A-82A4-E4F040529F3D}) (Version: 4.0.5 - ASUS) ==================== Zaplanowane zadania (filtrowane) ============= Task: {97562B1C-0E40-4120-A8ED-4688D442B2C5} - System32\Tasks\ASUS Smart Gesture Launcher => C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLauncher.exe [2015-08-23] (AsusTek) Sprawdź konfigurację tego oprogramowania. Sprawdź też czy problemy ustąpią po jego deaktywacji. To zadanie Harmonogramu "ASUS Smart Gesture Launcher" możesz wyłączyć za pomocą Autoruns (karta Scheduled Tasks).

Infekcji tu nie ma co szukać i całkowicie porzuć koncepcję "wirusa joke". Temat kwailifikuje się do innego działu, albo Windows 10, albo Hardware, na razie do Windows przenoszę pod bardziej dopasowanym do wątku tytułem. To wygląda na problem myszy. Czy przypadkiem tu nie występuje zjawisko nieumyślnych podwójnych klików jak w tym temacie: KLIK? Która metoda jest używana do przechodzenia w Tryb awaryjny? Czy problem występował przed instalacją ESET Smart Security? PS. Wątki poboczne: - Odinstaluj wątpliwy program Dll-Files Fixer. Tym to można sobie tylko zaszkodzić. Do rozwiązywania problemów z uszkodzonymi bibliotekami Windows służy narzędzie wbudowane w system: KLIK. - Widać, że pobierałeś z portalu dobreprogramy śmieciarskiego "Asystenta pobierania" - w Pobranych charakterystyczny plik DirectX-12667-dp.exe. Na temat "Asystenta": KLIK. - I jeszcze pokaż co za fixlist był wykonywany, bo mnie niepokoi ten wątek cóż takiego było robione.

Ale ja muszę widzieć raporty, służą one zresztą do oceny bardzo wielu aspektów, a nie tylko czy jest infekcja. Analiz z innego forum nie biorę też w ogóle pod uwagę i robię ją "na czysto" nie sugerowana innymi opiniami, muszę zobaczyć na własne oczy stan systemu.

Szkodliwe rekordy zniknęły. Na zakończenie: Zastosuj DelFix, a po jego użyciu wyczyść foldery Przywracania systemu: KLIK.

rokobokspl, mam wyraźnie napisane w profilu, że nie reaguję na PW, a piszę tu bo i tak miałam odpisać. I proszę o dostosowanie się do zasad działu, tzn. dostarczenie raportów z FRST i GMER. "FRST nic nie wykrył" - skoro mam analizować sytuację systemu, to muszę go widzieć, a infekcja wcale nie musi być powodem opisanych zachowań. "fixlist.exe poszukiwaniu dziwnych plików również" 0- przedstaw co robiłeś w skrypcie, bo sam opis operacji wydaje się być bardzo dziwny.

System jest zainfekowany adware, ten komunikat o kończeniu procesu rundll32 wygląda na związany z zadaniem adware PriceFountain, które posługuje się systemowym rozrusznikiem rundll32, by załadować własny moduł: Task: C:\WINDOWS\Tasks\MarekMMorainePapyrusV2.job => C:\WINDOWS\system32\rundll32.exeIsologTeacherage.dll ==================== Załadowane moduły (filtrowane) ============== 2016-04-10 21:01 - 2016-04-10 21:01 - 00370688 _____ () C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\MorainePapyrus\IsologTeacherage.dll Powinieneś więc widzieć też reklamy "PriceFountain" na serwisach typu Allegro czy Ceneo. To świeży nabytek. Natomiast w systemie są także inne kwiatki adware, np. zmodyfikowane skróty LNK przeglądarek, niektóre bardzo stare i trzymane w systemie od dwóch lat. Wszystko przypuszczalnie nabyte przy udziale "Asystenta pobierania" serwisu dobreprogramy.pl: KLIK. Dodatkowo stary pakiet ESET oraz różne stare wersje narażające bezpieczeństwo systemu. I dużo uruchomionych programów, co może być powodem dla spowolnienia. To do zignorowania. W rejestrze jest jakaś ścieżka odwołująca się do nieistniejącego dysku. Np. może chodzić o klucze MountPoints zawierające historię mapowania wcześniej podpinanych urządzeń USB: HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {36102cf8-51c8-11e2-b910-40618606fd9a} - K:\AutoRun.exe HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {9b2d9936-7b75-11e3-bbd7-40618606fd9a} - K:\AutoRun.exe HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {baee8cd7-18ee-11e0-9d29-40618606fd9a} - H:\NokiaPCIA_Autorun.exe HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {d319fc58-908b-11e1-b653-40618606fd9a} - N:\AutoRun.exe HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {d319fc5b-908b-11e1-b653-40618606fd9a} - J:\AutoRun.exe Następujące operacje czyszczące do wdrożenia: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware: BatBrowse 1.0.0, MySearchDial, PriceFountain, Search Provided by Yahoo, Update for PriceFountain. Gdyby coś zwróciło błąd lub nie było widoczne, kontynuuj. - Stare wersje: Adobe Flash Player 20 ActiveX, Gadu-Gadu 7.7, Gadu-Gadu 10 , Java 6 Update 33, OpenOffice.org 3.2, Opera 12.16, Skype™ 3.8, Skype™ 5.0. 2. Uruchom Program Install and Uninstall Troubleshooter i usuń Google Update Helper (to resztki adware BonanzaDeals a nie Google) oraz RealUpgrade 1.1 (odpadkowy wpis pozostawiony po odinstalowanym RealPlayer) . Narzędzie nie umożliwia akcji hurtowej, więc trzeba je uruchomić dwa razy. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\MarekM\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\WINDOWS\Tasks\At3.job => C:\DOCUME~1\Grzegorz\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\WINDOWS\Tasks\At4.job => C:\DOCUME~1\Asia\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\WINDOWS\Tasks\At5.job => C:\DOCUME~1\NETWOR~1\USTAWI~1\DANEAP~1\{38C20~1\UNINST~1.EXE Task: C:\WINDOWS\Tasks\At6.job => C:\DOCUME~1\MarekM\DANEAP~1\PRICEF~1\SYNCVE~1.EXE Task: C:\WINDOWS\Tasks\MarekMMorainePapyrusV2.job => C:\WINDOWS\system32\rundll32.exeIsologTeacherage.dll Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-725345543-117609710-1801674531-1003.job => D:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-725345543-117609710-1801674531-1003.job => D:\Program Files\Real\RealUpgrade\realupgrade.exe S4 Update BatBrowse; C:\Program Files\BatBrowse\updateBatBrowse.exe [316704 2014-05-04] () S4 Util BatBrowse; C:\Program Files\BatBrowse\bin\utilBatBrowse.exe [316704 2014-05-04] () S2 pds-srv1; "C:\Program Files\soft Xpansion\Private Data Safe\pds-srv1.exe" [X] S1 msw_fs1; \??\C:\Program Files\soft Xpansion\Private Data Safe\Kernel\msw_fs1.sys [X] S3 msw_pds1; \??\C:\Program Files\soft Xpansion\Private Data Safe\Kernel\msw_pds1.sys [X] S2 msw_ssp1; \??\C:\Program Files\soft Xpansion\Private Data Safe\Kernel\msw_ssp1.sys [X] S1 SuperMounter; Brak ImagePath S3 xp; \??\C:\Documents and Settings\MarekM\xp.sys [X] HKLM\...\Run: [] => [X] HKU\S-1-5-18\...\RunOnce: [tscuninstall] => %systemroot%\system32\tscupgrd.exe HKU\S-1-5-18\...\RunOnce: [Del1378656] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA HKU\S-1-5-18\...\RunOnce: [Del1085921] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA HKU\S-1-5-18\...\RunOnce: [Del1258375] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA HKU\S-1-5-18\...\RunOnce: [Del16357093] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_20_0_0_286_pepper.exe -update pepperplugin AppInit_DLLs: sx-prt.dll => Brak pliku GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA ShortcutWithArgument: C:\Documents and Settings\MarekM\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=88fc2265-b9ba-40c3-a603-7aca43aed9bc ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=88fc2265-b9ba-40c3-a603-7aca43aed9bc ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\SRWare Iron\SRWare Iron.lnk -> C:\Program Files\SRWare Iron\chrome.exe (SRWare) -> hxxp://www.so-v.com/?type=ll&uid=88fc2265-b9ba-40c3-a603-7aca43aed9bc HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.mysearchdial.com/?f=1&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir= HKU\S-1-5-21-725345543-117609710-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.mysearchdial.com/?f=1&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir= HKU\S-1-5-21-725345543-117609710-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxps://us.search.yahoo.com/yhs/web?hspart=elm&hsimp=yhs-001&type=hdr_s_15_44_orgnl&param1=1&param2=f%3D2%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0StCtAzyyBtN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCzytN1L1G1B1V1N2Y1L1Qzu2SyBtDyC0DyB0FtBtDtGyBtA0DtBtG0FyEzztAtGtC0ByCyEtGyBzyyEtAyEtCzy0DyC0EyDtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAzyyE0AyDtCyCyDtG0EtAyE0CtGyE0E0AtAtGzyzy0CtBtGtAyCtDyEzz0EtCzzzz0AtCtD2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D584656388%26a%3Dhdr_s_15_44_orgnl%26os%3DWindows%2BXP" <======= UWAGA SearchScopes: HKLM -> DefaultScope {1b31c9d2-7135-442b-bb93-7c002172adc6} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_44_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0StCtAzyyBtN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCzytN1L1G1B1V1N2Y1L1Qzu2SyBtDyC0DyB0FtBtDtGyBtA0DtBtG0FyEzztAtGtC0ByCyEtGyBzyyEtAyEtCzy0DyC0EyDtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAzyyE0AyDtCyCyDtG0EtAyE0CtGyE0E0AtAtGzyzy0CtBtGtAyCtDyEzz0EtCzzzz0AtCtD2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D584656388%26a%3Dhdr_s_15_44_orgnl%26os%3DWindows%2BXP&p={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir= SearchScopes: HKLM -> {1b31c9d2-7135-442b-bb93-7c002172adc6} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_44_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0StCtAzyyBtN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCzytN1L1G1B1V1N2Y1L1Qzu2SyBtDyC0DyB0FtBtDtGyBtA0DtBtG0FyEzztAtGtC0ByCyEtGyBzyyEtAyEtCzy0DyC0EyDtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAzyyE0AyDtCyCyDtG0EtAyE0CtGyE0E0AtAtGzyzy0CtBtGtAyCtDyEzz0EtCzzzz0AtCtD2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D584656388%26a%3Dhdr_s_15_44_orgnl%26os%3DWindows%2BXP&p={searchTerms} SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> DefaultScope {CC555D01-0911-4134-8381-EEF93F56C625} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir= SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=51FC00FF9D7A666D&affID=119357&tsp=5021 SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> {CC555D01-0911-4134-8381-EEF93F56C625} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir= SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = hxxp://mystart.incredimail.com/?search={searchTerms}&loc=search_box Toolbar: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> Brak nazwy - {00000000-5736-4205-0008-F7ED0776FB27} - Brak pliku Toolbar: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> Brak nazwy - {00000000-5736-4205-0008-781CD0E19F00} - Brak pliku DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Konnekt DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WINSWEEP Popupblocker DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\MarekM\Dane aplikacji\PriceFountainUpdateVer C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\mysearchdial-speeddial.crx C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\MorainePapyrus C:\Program Files\BatBrowse C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DisableService: PLAY ONLINE. RunOuc Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files\SRWare Iron\chrome.exe"" /f Reg: reg query HKCU\Software\Classes\http\shell\open\command /s Reg: reg query HKLM\SOFTWARE\Classes\http\shell\open\command /s CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wygląda na to, że korzystasz z przeglądarki SRWare Iron, ale jest tu także Firefox zanieczyszczony adware. Do wyczyszczenia: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany. Dodatkowo, jest tu ogromna ilość kont, na razie sprawdzany tylko Marek, wypadałoby zrobić skany FRST z pozostałych kont. Ale najpierw skończymy z Markiem. ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-725345543-117609710-1801674531-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Agnieszka (S-1-5-21-725345543-117609710-1801674531-1006 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Agnieszka Asia (S-1-5-21-725345543-117609710-1801674531-1007 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Asia Grzegorz (S-1-5-21-725345543-117609710-1801674531-1005 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Grzegorz Mama (S-1-5-21-725345543-117609710-1801674531-1004 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Mama MarekM (S-1-5-21-725345543-117609710-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\MarekM

Jak mówię, w raportach zero rekordów związanych z takimi infekcjami i moim zdaniem analizą zjawiska powinien zająć się administrator sieci w chwili, gdy laptop jest w nią wpięty, bo wtedy środowisko pracy jest inne niż tu widziane. To komputer popinany pod domenę, więc skan FRST (oraz innymi skanerami wywoływanymi lokalnie) jest tu ograniczony. Dodatkowo, brak widoczności infekcji może też wypływać z oglądania kontekstu innego konta użytkownika. Raporty zrobione z poziomu konta "rafał", a są tu conajmniej trzy (rafał, szczepan i Bank): Załadowane profile: rafal... (Dostępne profile: rafal... & Bank) ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-4195087781-2223933032-4022338309-500 - Administrator - Enabled) Bank (S-1-5-21-4195087781-2223933032-4022338309-1001 - Administrator - Disabled) => C:\Users\Bank Gość (S-1-5-21-4195087781-2223933032-4022338309-501 - Limited - Disabled) + pliki Temp "szczepana" w FRST oraz jego skróty w Shortcut Jak widać, nawet FRST nie wykrył kont "rafał" (załadowane) i "szczepan" (pośrednia dedukcja że istnieje) jako lokalnych, bo to system domenowy. Jeśli ten laptop ma być rzetelniej sprawdzony via FRST, wymagane jest ładowanie po kolei wszystkich używanych na nim kont i zrobienie z ich poziomu odrębnych skanów FRST (z Addition).

Osłona web F-Secure wykrywała konkretne strony jako te uruchamiające eksploity. W tu widzianym systemie nie ma żadnych oznak infekcji która mogłaby odpalić takie przekierowania. Jeśli zgłoszenia były jednorazowe, nie jest wykluczone że na Google przypadkiem trafiono na stronę / reklamę to otwierającą. Jeśli zgłoszenia nie są jednorazowe, źródłem może być inny komputer sieci i analiza tu widzianego mija się z celem. Moim zdaniem to wygląda właśnie na problem sieci firmowej, którym powinien zająć się jej administrator.