picasso

Zasady działu: KLIK. Zakaz podpinania się, wydzialam w osobny temat. Zestaw logów nieodpowiedni, OTL jest stary i już tu nie akceptowany, usuwam jego logi. Dostarcz raporty z FRST: KLIK

O ile problem nadal aktualny: Babylon Search nie ma tu nic do rzeczy w kontekście spowolnienia systemu, w systemie tylko małe odpadki. Jedyne co ewentualnie może mieć tu znaczenie w tym kontekście, to kilka zadań w Harmonogramie pozostawionych przez różne adware. Notabene, miot Babylon to strasznie stara infekcja i te elementy grzały u Ciebie miejsce od dawna (kilka lat). Natomiast spowolnienie systemu mogą produkować usługi, gdyż w Dzienniku zdarzeń są następujące błędy: Dziennik System: ============= Error: (02/12/2016 06:15:43 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa NVIDIA Update Service Daemon zawiesiła się podczas uruchamiania. Error: (02/12/2016 06:10:54 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (02/12/2016 06:10:54 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Podobny problem z Usługą buforowania czcionek platformy: KLIK. Akcje relatywne do obu wyliczonych usług zostaną załączone w poniższym skrypcie FRST, tzn. wyłączenie aktualizatora nVidia oraz reset bufora czcionek. Do wykonania byłby następujące operacje: 1. Odinstaluj stare wersje: Adobe Flash Player 20 ActiveX, Adobe Reader 9.1 - Polish, Bing Bar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: nvUpdatusService CMD: sc stop FontCache3.0.0.0 C:\Windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat Task: {1C9BB918-F843-4FB1-8ABF-126543AC0FB2} - System32\Tasks\tcbackup => C:\Users\Alina\AppData\Local\tcbackup\mysp.exe [2015-10-23] (Visual Tools) Task: {1DFA65C0-25E6-41B7-8FC3-AA95A3829D31} - System32\Tasks\{06ABC8DD-049D-4A3B-B02B-0B06220B2452} => C:\Program Files (x86)\Ares\Ares.exe Task: {1EA09A47-0834-4977-9A68-9B7D2E56FC52} - System32\Tasks\{FD46C737-0B7C-4B3B-8480-92502F46699E} => pcalua.exe -a "C:\Users\Alina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DZOHJOJ4\aresregular217_installer_(shp.net.pl)[1].exe" -d C:\Users\Alina\Desktop Task: {2160A905-A080-4343-9272-47C87179C8DD} - System32\Tasks\{646D9178-7BB0-4858-A0CB-AB06DDF9327E} => C:\Program Files (x86)\Ares\Ares.exe Task: {2B8B6C37-76E4-4C93-8C25-0CE18706DB31} - System32\Tasks\{68D3DE6B-ABAF-4A6C-AB1C-BB1FABF8B468} => C:\Program Files (x86)\Ares\Ares.exe Task: {34512ED8-12C4-4EC0-A59E-BA0B96A20F76} - System32\Tasks\{F5CA7203-08CE-4AC2-AF0D-BEFE257C94A4} => C:\Program Files (x86)\Ares\Ares.exe Task: {7BAEBF94-7A01-4621-B803-1555F3805D47} - System32\Tasks\{0C864E79-D460-4DEA-B862-8675C465F4FE} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c "C:\Program Files (x86)\Ares\Ares.exe" Task: {8417865B-01E9-45BE-BCAC-17DC74BA0EF8} - System32\Tasks\{71D91980-D9D5-477B-8C6E-348DD8929728} => pcalua.exe -a C:\Users\Alina\Downloads\MegaCloud_Setup.exe -d C:\Users\Alina\Downloads Task: {861AF790-963B-492E-8A1D-6B3E49D4A982} - System32\Tasks\{5F34589C-809D-46EA-9FC6-C8260BC893D7} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup Task: {8C057C20-0756-42BD-8F7E-A1AF71BDB451} - System32\Tasks\{6F8842FB-986F-4125-B0B9-0A2A4637A355} => C:\Program Files (x86)\Ares\Ares.exe Task: {995F09F5-8C9A-468E-B276-FA32D459363D} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2015-07-27] (Reimage ltd.) <==== UWAGA Task: {A1FD1433-69A5-452C-BB64-241ECE1AF8FE} - System32\Tasks\EPUpdater => C:\Users\Alina\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () <==== UWAGA Task: {A5333455-5D4C-4E1D-8AC1-502B02FC9C64} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== UWAGA Task: {C60C7E37-A316-4C84-A12D-19CFA68C66D7} - System32\Tasks\Delta Toolbar Updater => C:\Users\Alina\AppData\Local\\delta\\delta\\2.0.1.1\Delta Toolbarupdt.exe Task: {F9EAAEC3-1034-4C3C-846E-347644E67ABF} - System32\Tasks\{7BBB1FB2-B12E-4E21-83F4-2692EF1026AF} => Chrome.exe hxxp://ui.skype.com/ui/0/5.10.0.116/pl/abandoninstall?source=lightinstaller&amp;page=tsInstall BHO-x32: Brak nazwy -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> Brak pliku Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKU\S-1-5-21-129265271-3525497852-1072832283-1002 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-13] CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Alina\AppData\Roaming\BabSolution\CR\Delta.crx [2013-10-05] S3 cpuz134; \??\C:\Users\Alina\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy C:\Program Files\Reimage Profile: C:\Users\Beata\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Alina\AppData\Local\tcbackup C:\Users\Alina\AppData\Roaming\BabSolution CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj, a następnie Usuń. Powstanie folder C:\AdwCleaner z logami. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt i raport z usuwania AdwCleaner.

O ile problem nadal aktualny: To infekcja TeslaCrypt 4.0, opis tu: KLIK. Niestety odkodowanie plików jest awykonalne. Jedyne co jest w moim zasięgu, to doczyszczenie elementów infekcji (pustych już wpisów startowych i masowo wyprodukowanych notatek "recover") oraz starych programów (luki w Adobe i Java to jedna z dróg tego rodzaju infekcji). Próbując usuwać infekcję doinstalowałeś lewy skaner SpyHunter. Pod kątem doczyszczania: 1. Deinstalacje: Jest tu niepoprawnie odinstalowany, lecz aktywny McAfee. Zastosuj firmowe narzędzie McAfee Consumer Product Removal Tool. Odinstaluj via Panel sterowania: Acrobat.com, Adobe AIR, Adobe Flash Player 20 ActiveX, Adobe Reader 9.5.5 MUI, DNA, Java 8 Update 51 (64-bit), Java 8 Update 51, Mozilla Firefox (3.6.13), Norton Online Backup, OpenOffice.org 3.3, SpyHunter 4. Przy deinstalacji Firefox potwierdź usuwanie danych użytkownika, resztę doczyści skrypt podany poniżej. W przypadku kłopotów z deinstalacją SpyHunter, skorzystaj z automatu SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [nwhskfqivdvd] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [hrgvpsxasune] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [gicnkrfusfkd] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [iasclukcnasv] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [hwdqlyhbdvda] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" Task: {09E3109C-F1B0-4D02-9351-6E95AB5B5001} - System32\Tasks\{63A9B410-4C7D-490F-8780-CEEE9F64EC5F} => pcalua.exe -a C:\Users\Dom\AppData\Local\Temp\jre-8u60-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {A36E5181-0A03-4B56-8E6A-DE33F27EE995} - System32\Tasks\{1CF58CB6-B48D-42AF-943C-0BC1881C5CE2} => pcalua.exe -a C:\Users\Dom\AppData\Local\Temp\jre-8u66-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {BEBC17E8-1614-413A-B27C-B3A4EBF453DB} - System32\Tasks\Zamknij PC => shutdown Task: {FBA30705-4B13-45FB-B9D7-D35EB31FB076} - System32\Tasks\{99658704-DEE9-4567-9BFE-487BDEE4698B} => pcalua.exe -a C:\Users\Konto\Desktop\Masse\PhSp_CS2_English.exe -d C:\Users\Konto\Desktop\Masse BHO: Brak nazwy -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adzworks DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcpltui_exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Norton Online Backup DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\{b26e72f8-0c20-6dca-b26e-e72f80c2cbe0} RemoveDirectory: C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A} RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\Symantec RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Glorylogic RemoveDirectory: C:\Users\Dom\AppData\LocalLow\7C029D65 RemoveDirectory: C:\Users\Dom\AppData\Local\Mozilla RemoveDirectory: C:\Users\Dom\AppData\Local\Microsoft\Windows\GameExplorer\{1B008B11-31F3-4E4F-A4A0-9108F6C35685} RemoveDirectory: C:\Users\Dom\AppData\Roaming\2006C96F RemoveDirectory: C:\Users\Dom\AppData\Roaming\7C029D65 RemoveDirectory: C:\Users\Dom\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Dom\AppData\Roaming\Real RemoveDirectory: C:\Users\Konto\AppData\Local\Microsoft\Windows\GameExplorer\{FF270D74-BFCB-4BAD-AF08-9B61CA9C85D0} RemoveDirectory: C:\Users\Konto\AppData\Local\Microsoft\Windows\GameExplorer\{9A5249AF-1466-4851-861D-5B95EA28DF65} RemoveDirectory: C:\Users\Konto\AppData\Local\Microsoft\Windows\GameExplorer\{7AF3C831-CBAC-4C9A-949E-5E11A6897A94} RemoveDirectory: C:\Users\Robert RemoveDirectory: C:\Users\Saber C:\Program Files (x86)\GUT5B1B.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bloodshed Dev-C++\License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\My Free Mahjong\Readme\License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\My Free Mahjong\Readme\Readme.lnk C:\Users\Dom\AppData\Local\{*} C:\Users\Konto\AppData\Roaming\Microsoft\Windows\SendTo\ISO Workshop.lnk C:\Windows\SysWOW64\*.tmp CMD: netsh advfirewall reset CMD: for /d %f in (C:\Users\Dom\AppData\Local\{*}) do rd /s /q "%f" CMD: attrib -r -h -s C:\Recovery+* /s CMD: del /q /s C:\Recovery+* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Fix może się długo wykonywać, ze względu na rekursywne usuwanie plików ransom z całego dysku C. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt - może być ogromny i gdyby się nie zmieścił, shostuj go na jakimś serwisie zewnętrznym i podaj link do pliku.

*decryptfile@aol należy do tej grupy infekcji: KLIK. Niektóre warianty "małpkowych" infekcji szyfrujących adresuje Kaspersky RakhniDecryptor. Lista podanych w artykule wariantów jest niepełna. Niestety nic mi nie wiadomo na temat zdolności odkodowania plików wariantu z "aol" w nazwie. W widzianych tu raportach nie ma żadnych oznak tej infekcji i nie ma co analizować. Albo więc serwer nie był źródłem i został zainfekowany przy udziale któregoś klienckiego podłączenia, albo kontekst raportu jest pobrany nie z tego konta które było motorem (wg FRST jest większa ilość niezaładowanych kont), albo infekcja została usunięta. Poza tym, raporty FRST słabo się nadają do weryfikacji środowisk domenowych / serwerowych, analizowany jest tylko dysk C systemu spod którego uruchomiono FRST. Nie jestem w stanie stwierdzić nic więcej ponadto co już powiedziałam.

Tak, jak już wspominasz, odszyfrowanie plików nie jest możliwe. Infekcja nie jest już aktywna - w starcie jest tylko martwy wpis "mlkji". System jest kiepsko zabezpieczony: archaiczny ESET z 2009 (!), niepełne aktualizacje (IE9) i stary niebezpieczny Adobe Flash dla Internet Explorer. Widziany tu ESET to ułuda zabezpieczeń, a aktualność baz danych to za mało. Moim zadaniem będzie tylko doczyszczenie systemu w stopniu podstawowym. Czyli: 1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 16 ActiveX, gdyż to właśnie exploity Adobe są jedną z przyczyn infekcji szyfrujących. Pozbądź się także Spybot - Search & Destroy, mało skuteczny dziś i niepolecany program. Czyszczenie infekcji pewnie wykonał MBAM, a nie Spybot. Na dalszą metę konieczne usunięcie ESET i zastąpienie czymś nowoczesnm z tej listy: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3811378809-90562482-1901480312-1000\...\Run: [DAEMON Tools Lite] => "E:\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-3811378809-90562482-1901480312-1000\...\Run: [mlkji] => "c:\users\f\appdata\local\mlkji.exe" /r CustomCLSID: HKU\S-1-5-21-3811378809-90562482-1901480312-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> E:\HAWX2\orbit\npuplaypc.dll => Brak pliku DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\F\AppData\Local\mlkji.gdb C:\Users\F\AppData\Local\mlkji.gss C:\1475950A61CA437AD33E7E9D655E4A0F.locky EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Jak już powiedziane, z odkodowaniem plików lipa. Wg raportów infekcja nie jest aktywna, brak wpisów startowych. Jedyne co widać, to plik graficzny notatki ransom na Pulpicie i przykładowe zaszyfrowane pliki: 2016-03-22 18:44 - 2016-03-22 18:44 - 05151830 _____ C:\Users\Martina\Desktop\_HELP_instructions.bmp 2016-03-22 18:39 - 2016-03-22 18:39 - 204572886 _____ C:\Users\Martina\Documents\10334FBA78E77EBFFD2E266062181764.locky 2016-03-22 18:37 - 2016-03-22 18:37 - 11836244 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFAF8529F02B490EFC.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 02877764 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF2E37E5973560E31F.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 02375164 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF57895CA50156141E.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 02191337 _____ C:\Users\Martina\Documents\10334FBA78E77EBF20E12FB849898A24.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 02025202 _____ C:\Users\Martina\Documents\10334FBA78E77EBF5F380A4D6D1548C6.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 01953256 _____ C:\Users\Martina\Documents\10334FBA78E77EBF2D212AC3520867E6.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 01436396 _____ C:\Users\Martina\Documents\10334FBA78E77EBF39E1510AC852ACD0.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 01314539 _____ C:\Users\Martina\Documents\10334FBA78E77EBF7E43BAD13586DE08.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 01314539 _____ C:\Users\Martina\Documents\10334FBA78E77EBF16BE64072E9FD4DF.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00919330 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF416C6BDA669CFD8A.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00841806 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF221AD6FE6A0CF899.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00837007 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF9F0F5A0945695C55.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00835649 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF58D93923370672B4.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00796877 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF864054CB9CA46A29.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00796877 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF2E104EA6B095D685.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00410040 _____ C:\Users\Martina\Documents\10334FBA78E77EBF411467CB3E322036.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00131647 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF2E2E5C63C6AB7F89.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00123377 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFC29B8D522028A384.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00118084 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF5CC1D6031E3A4377.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00111428 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF81163D56159FB4EA.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00110378 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFB30F517A6EC7F850.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00110250 _____ C:\Users\Martina\Desktop\10334FBA78E77EBF6318467FFD449D59.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00106186 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE7E5283DC2D1D838.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00105284 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF122D290C68798E9F.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00105167 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFA7075C72032FD3A9.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00095566 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFC2345E29EAAFE7E4.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00093316 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF04A24ED0306E783D.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00055837 _____ C:\Users\Martina\Documents\10334FBA78E77EBF445860C692BAE699.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00047585 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE42FE9FE656CD045.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00047581 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF71F771CEDD1C5C99.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00047428 _____ C:\Users\Martina\Desktop\10334FBA78E77EBF88A86ABFA6994CB1.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00042820 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE0ECD29E05913EDB.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00034628 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE29054327227CF75.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00018328 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF0EF89501E9B47454.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00014276 _____ C:\Users\Martina\Desktop\10334FBA78E77EBF1A9F602F20F14B69.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00006980 ____N C:\Users\Martina\Desktop\10334FBA78E77EBFCF7C031FDBBDEFAC.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00004897 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF26673082B9432E65.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Downloads\10334FBA78E77EBFA28E01BF42C35CC1.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBFAE32231470556CDE.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF9184049E0973112D.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF518287E249D42C61.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF3811129EC10F5E6C.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF281A1FB17E244B14.locky Natomiast jest czynny podrzędny śmieć adware/PUP, czyli sponsorowany Bing. Działania poboczne: 1. Odinstaluj stare niebezpieczne wersje (jedna z dróg infekcji szyfrujących dane): Adobe Flash Player 15 Plugin, Java 7 Update 71. 2. Doczyść śmieci / odpadki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3939384550-3673428181-2738249459-1001\...\Run: [bingSvc] => C:\Users\Martina\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-02-13] (© 2015 Microsoft Corporation) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3939384550-3673428181-2738249459-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2016-01-08] CustomCLSID: HKU\S-1-5-21-3939384550-3673428181-2738249459-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Martina\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {05DB5A67-8BF0-44F0-ABE1-FF2766C95C42} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {0A1EE147-ACDD-42BC-BF0C-15ACCA660305} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {204D9077-4F7E-49BC-A4CD-2B1BA4E9D341} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {269D968B-2606-4DA9-92FC-BAB5859400BD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {701A5C35-8855-47DC-B997-11D2BA563AB5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {78D2467B-C470-4917-8036-3177C7250E1F} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {90EAACA5-8328-4B35-A357-2E9506A3D05C} - System32\Tasks\Norton Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Security\Engine\22.5.2.15\SymErr.exe Task: {AC2B2060-FE42-4909-B20A-43DA088BA8BE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {B6C32F4C-573A-4355-A154-0E3877BFB356} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {B7D2481A-60E2-4CDE-9935-A9B515D7E48D} - System32\Tasks\Norton Security\Norton Error Processor => C:\Program Files (x86)\Norton Security\Engine\22.5.2.15\SymErr.exe Task: {D94FFD96-47C4-4BF4-A659-87F851072522} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {DA4F5BB5-3BD0-419B-9ECB-C3438768F8D3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E0804740-9C02-4539-AAB3-A9263BF88321} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {EF1873DE-0CD2-4AE3-A082-EB939EE4A802} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Security DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GG /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f C:\ProgramData\APN C:\ProgramData\Norton C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HD Tune C:\Users\Martina\AppData\Local\Microsoft\BingSvc C:\Users\Martina\AppData\Roaming\Microsoft\Word\Szablon%20CV2%20od%20praca.gratka.pl305062823361248895\Szablon%20CV2%20od%20praca.gratka.pl.doc.lnk C:\Users\Martina\Desktop\_HELP_instructions.bmp C:\Users\stefa_000\AppData\Roaming\Elex-tech C:\Windows\System32\Tasks\Norton Security CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome ze sponsorowanego Binga: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bing, o ile nadal będzie widoczny. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

O ile problem nadal aktualny, zgłoszenia generuje szkodliwe proxy. ManualProxies: 0hxxp://stop-block.org/wpad.dat?037165183c99d19f2e407b60bd143bb76387154 Do przeprowadzenia następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S1 {d0a750c7-0e2e-4426-8c72-dd49c6e52785}Gw; system32\drivers\{d0a750c7-0e2e-4426-8c72-dd49c6e52785}Gw.sys [X] HKLM\...\Run: [NeroFilterCheck] => C:\Windows\system32\NeroCheck.exe HKLM\...\Run: [blueStacks Agent] => C:\Program Files\BlueStacks\HD-Agent.exe HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-3215043942-3594844569-900473125-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [GG] => "C:\Users\Łukasz\AppData\Local\GG\Application\gghub.exe" GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin HKU\S-1-5-21-3215043942-3594844569-900473125-1000: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Łukasz\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.) IE trusted site: HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\mks.com.pl -> hxxps://www.mks.com.pl DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google C:\Program Files\Google C:\Program Files\SprgFiles C:\Users\Łukasz\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Łukasz\AppData\Local\Google C:\Users\Łukasz\AppData\Local\Microsoft\Windows\GameExplorer\{9FCDFB01-D519-42A6-8995-58346C41C906} C:\Users\Łukasz\AppData\Roaming\*.* C:\Users\Łukasz\AppData\Roaming\DarkEra C:\Users\Łukasz\AppData\Roaming\GG C:\Users\Łukasz\AppData\Roaming\WarThunder C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Public\Desktop\SprgFiles.lnk C:\Users\Public\Documents\dmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

O ile problem nadal aktualny: w systemie widać tylko szczątki niedoczyszczonych poprawnie infekcji (proxy na lokalnym koncie systemowym, adware w Firefox, odpadki przekonwertowanego przez adware Google Chrome, stary ZeroAccess) oraz trefny skaner SpyHunter. Działa też zbędny firmowy Logitech Desktop Messenger, do którego nie ma deinstalatora, oraz deinstalacja Spybot Search & Destroy pozostawiła po sobie immunizacje. Problem nie wynika z infekcji. Być może to właśnie aktywny SpyHunter jest powodem dla tych zachowań. Dodatkowo, plik Hosts zmodyfikowany przez Spybot Search & Destroy mieli ponad 15 tysięcy wpisów, co może skutkować zawieszeniami stron czy nawet systemu. Wszystkie elementy Spybot zostaną tu usunięte. Ale to jest normalne zachowanie. W systemie jest zainstalowany program Microsoft Security Essentials, który zastępuje Windows Defender i go automatycznie deaktywuje, by nie uruchamiał się. Usługi MSSE są aktywne, usługa Windows Defender jest na Ręcznym i tak ma być: R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [23808 2016-01-29] (Microsoft Corporation) R3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [374344 2016-01-29] (Microsoft Corporation) S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) 1. Odinstaluj SpyHunter posiłkując się skrótem deinstalacyjnym w Menu start: ShortcutWithArgument: C:\Users\WojSky\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\WojSky\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh W przypadku problemów z deinstalacją zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: Hosts: GroupPolicyScripts: Ograniczenia <======= UWAGA GroupPolicyScripts\User: Ograniczenia <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA BootExecute: autocheck autochk * sdnclean64.exe HKU\S-1-5-21-668491218-822267600-407935612-1000\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Logitech Desktop Messenger.lnk [2016-01-03] S0 raeehd; Brak ImagePath S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] S3 catchme; \??\C:\123qweasdzxc\catchme.sys [X] R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] Task: {1137BF65-4491-436A-81EE-160F7E69195E} - System32\Tasks\{85EFD14D-7D35-4F8E-932E-9A490580FC28} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.73.102.456/pl/go/help.faq.installer?LastError=1638 Task: {1D115671-925E-42A7-9753-33BA8178844F} - System32\Tasks\{75CB3AE0-2F45-4F48-8D63-1ECE261F23ED} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {49085C1F-5273-47E7-9ED9-F1DD8AEC3583} - System32\Tasks\{04CE6485-60A6-4627-B5CA-37A7B6D38557} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {4DBB6AE2-6E43-4916-8125-5BAE94416106} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {4E1064B2-D7E6-4FC8-82A2-694F076BD23C} - System32\Tasks\{63104515-0728-40BE-A447-4EE63A9BDC23} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {8085F24E-62FD-4399-B16B-3E16E727D667} - System32\Tasks\{10E8384A-EC0B-42BF-8931-A8C987A19FCC} => Firefox.exe hxxp://ui.skype.com/ui/0/7.3.73.101.456/pl/go/help.faq.installer?LastError=1638 Task: {8D2E9254-9B9F-4A43-9222-11B5A70B9619} - System32\Tasks\{2CDF1771-3307-474C-93E2-E6657B68216E} => Firefox.exe hxxp://ui.skype.com/ui/0/6.14.11.104/pl/go/help.faq.installer?LastError=1618 Task: {92B947CF-D4C6-416B-9650-1DC1B2D2A252} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {95BA15FB-2B29-45EF-9545-DC40E3D1DB1C} - System32\Tasks\{E0CFBF74-64CF-488A-B1BF-FA2BA2DFBE88} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.73.102.456/pl/go/help.faq.installer?LastError=1638 Task: {AD47A1B2-9EC7-4FD4-B8D7-EFCA02CA55C8} - System32\Tasks\{D4C316AA-7B4F-43D5-B081-26AC300478B3} => Firefox.exe hxxp://ui.skype.com/ui/0/7.5.73.102.456/pl/go/help.faq.installer?LastError=1638 Task: {B52E096B-A869-4B17-B5BA-E960E369498D} - System32\Tasks\{13DCB20C-2BF4-40F2-A59A-FA726B51EA2D} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {D5E2BE79-3D69-4028-A4A0-10472552B5AA} - System32\Tasks\{1653DDBC-D855-4C05-825C-5C0AB3E5061E} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {E47FA7D1-BFBB-4D1B-B654-AB73D880EB72} - System32\Tasks\{7C0B9044-4B1F-4F29-8FD3-2D06B43B7ED3} => Firefox.exe hxxp://ui.skype.com/ui/0/7.6.73.105.456/pl/go/help.faq.installer?LastError=1638 Task: {ED5C0F13-3EDA-429B-BCBB-776CF3380DA5} - System32\Tasks\{678AD71E-70C3-44A2-A6B0-A8FA83A79CFC} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.73.102.456/pl/go/help.faq.installer?LastError=1638 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-668491218-822267600-407935612-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-668491218-822267600-407935612-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin-x32: @ganymede/GanymedeNetPlugin,version=1.0 -> C:\Program Files (x86)\Ganymede\Plugins\npganymedenet.dll [Brak pliku] FF HKLM-x32\...\Firefox\Extensions: [isend@www.bluesoleil.com] - C:\Program Files (x86)\IVT Corporation\BlueSoleil\TransSend\FireFox\isend@www.bluesoleil.com FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\8256DB774731DEF9953D070822026F658256 [2015-12-07] <==== UWAGA SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {15707CDB-5CDE-7038-71B0-42DCD830F6AA} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset CMD: regsvr32 /u /s "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CWK.lnk C:\Users\WojSky\AppData\Local\pcc.exe C:\Users\WojSky\AppData\Local\Temp-log.txt C:\Users\WojSky\AppData\Roaming\*.* C:\Users\WojSky\AppData\Roaming\Microsoft\Done.dat C:\Users\WojSky\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Chromium.lnk RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Users\WojSky\AppData\Local\Google\Chrome RemoveDirectory: C:\Users\WojSky\AppData\Local\{3bf97711-3057-2d87-061d-8c0359cd1e13} RemoveDirectory: C:\Windows\Installer\{3bf97711-3057-2d87-061d-8c0359cd1e13} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\WojSky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Opisz czy jest poprawa.

O ile problem nadal aktualny: 1. W kwestii martwego wejścia na liście instalacyjnej: RollerCoaster Tycoon 2 (HKLM-x32\...\{72DF62BD-FF36-424E-AA5F-D89BAFF2C249}) (Version: - ) Uruchom Zoek. W oknie wklej: RollerCoaster Tycoon 2;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 2. A jako operacja poboczna doczyszczanie drobnych śmieci. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {01D2FA17-6977-470F-A97D-43C6435CB4ED} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {04561ABD-3529-44D9-A4E5-DD6A717D9440} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {0D037669-6C43-405F-8A9F-F744780D48BF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {1C1A57C6-AC73-470E-8062-88B466F7D582} - System32\Tasks\Uninstaller_SkipUac_Nemezis => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {1DC9C367-10A3-482A-A5B6-0632C347D396} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {33AD082D-F16B-4288-BFD5-12B74CD478C6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {566A6739-95F3-43AC-B4AF-303DD7123108} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {67E91121-9868-4AF9-9C0C-4C524FB45017} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {7BED74F1-847D-4BC3-8959-E66990B2C260} - System32\Tasks\{5E654B3F-934A-4620-91AE-B552488EE795} => pcalua.exe -a "C:\Program Files (x86)\Unreal Antologia\Unreal Anthology.exe" -d "C:\Program Files (x86)\Unreal Antologia" Task: {91AEE754-05E3-46CB-BDFA-993E34F4890F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {990FD7F4-99C0-47EA-B15D-BAC91E230CC4} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {A41F0258-5686-4092-918E-6EEC59E4211B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {D21B3A22-1EA7-4054-9AAA-7CFC626BF212} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {DCC0FC10-2E6C-4635-91CE-BA911CDD0EFE} - System32\Tasks\{D842DBE4-C692-41FE-8ED5-70FBBB9461B7} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.5.0.102&LastError=12002 Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Nemezis.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.istartsurf.com/?type=hp&ts=1432587496&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=obw&uid=SAMSUNGXHD080HJ_S08EJ1UP106059","hxxp://www.istartsurf.com/?type=hppp&ts=1432587530&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=obw&uid=SAMSUNGXHD080HJ_S08EJ1UP106059" CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-02-03] FF user.js: detected! => C:\Users\Nemezis\AppData\Roaming\Mozilla\Firefox\Profiles\96iqxuez.default\user.js [2015-07-13] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF SearchScopes: HKU\S-1-5-21-3273934130-1980556977-1330787289-1002 -> DefaultScope {6DF30A0D-0219-41B1-9C33-C53A9A697DD9} URL = SearchScopes: HKU\S-1-5-21-3273934130-1980556977-1330787289-1002 -> {6DF30A0D-0219-41B1-9C33-C53A9A697DD9} URL = 2016-02-06 16:09 - 2016-02-06 16:09 - 00000000 _____ C:\end EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Wszystko poprawnie zostało przetworzone. Na wszelki wypadek jeszcze: 1. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Upłynęło sporo czasu, więc przydałyby się nowe raporty FRST (FRST.txt + Addition.txt), obrazujące czy nie nastąpiły w międzyczasie jakieś nowe niekorzystne zmiany.

Fix FRST pomyślnie przetworzony. Skasuj przez SHIFT+DEL (omija Kosz) folder C:\FRST oraz FRST i jego logi z C:\nowe logi. Owszem, wypunktowana dysfunkcja usług PeerNetworking może powodować "zacięcia", ale nie wszystkie opisywane objawy mi do tego pasują... Gdyby pojawiły się kolejne problemy, dostarczysz dane wymagane działem Hardware: KLIK.

O ile problem nadal aktualny: 1. Format systemu był tu niestety zbędny i niedopasowany do typu infekcji. Pierwsze raporty wskazywały na infekcję routera, zakreślony adres jest holenderski: Tcpip\Parameters: [DhcpNameServer] 5.39.222.159 8.8.8.8 Tcpip\..\Interfaces\{03776fe9-7e0f-416d-983d-cd04d90c8804}: [DhcpNameServer] 5.39.222.159 8.8.8.8 W nowszych raportach brak widocznych bezpośrednich oznak infekcji, ale skoro problem nadal występuje, winę ponosi router. Podaj jaki model posiadasz. 2. Przy okazji, są też zastanawiające działania które podjąłeś po formacie. Świeży system, a tu archaiczne kwiatki: Mozilla Firefox (3.5.1) (HKLM-x32\...\Mozilla Firefox (3.5.1)) (Version: 3.5.1 (pl) - Mozilla) FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\npnul32.dll [2009-07-16] (mozilla.org) FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-branding.js [2009-07-15] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-l10n.js [2009-07-15] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox.js [2009-07-15] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\reporter.js [2009-07-15] Skąd tak potwornie stary (i niebezpieczny!) Firefox? Co to za akcja po formacie, by go instalować równoległe z najnowszym Firefox? W pierwszych raportach go nie było, więc został zainstalowany po formacie. Zestaw plików wskazuje, że to jakaś firmowa brandowana edycja.

Temat przenoszę do działu Windows, na dalszą metę nie wykluczony dział Hardware. To nie jest problem infekcji. A z raportów FRST mało co wynika. Jedyne co mi się rzuca w oczy, to ten zestaw błędów relatywnych do uszkodzeń bazy certyfikatów PeerNetworking: Dziennik System: ============= Error: (04/14/2016 12:35:50 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (04/14/2016 12:35:50 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (04/14/2016 12:35:50 AM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Może być tu też problem z dyskiem twardym / strukturą plików, gdyż uruchamiany był checkdisk: 2016-04-10 10:13 - 2016-04-10 10:13 - 00000000 __SHD C:\found.000 Z mojej strony zadaję reset certyfikatów PeerNetworking poprzez usunięcie plików idstore.*, przy okazji także usunięcie szczątkowych wpisów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* HKLM-x32\...\Run: [AvgUi] => "C:\Program Files (x86)\AVG\Framework\Common\avguirnx.exe" /lps=fmw ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S3 NSNDIS5; \??\C:\Windows\system32\NSNDIS5.SYS [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Task: {5754D218-299E-4442-B910-409905BB7F3E} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-04-10] (AVAST Software) Task: {6D062BB9-CB8D-4DD2-A03E-52767533C153} - System32\Tasks\{C5A1A420-EFB8-4531-98C7-677BAEEF20F3} => pcalua.exe -a E:\Downloads\VirtualBox-4.3.28-100309-Win.exe -d E:\Downloads Task: {73CE454F-7744-4922-BB76-74BB4D18C318} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {F4E250EE-BCAF-420A-87A4-6B9738C2EED6} - System32\Tasks\{D0473894-B4E9-4F5F-9585-8C7171A022C2} => pcalua.exe -a C:\Users\SEBAST~1\AppData\Local\Temp\jre-8u65-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AvgAMPS DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVGIDSAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avgsvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avgwd DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AvgUi DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\Users\Sebastian\AppData\Local\Avg RemoveDirectory: C:\Users\Sebastian\AppData\Roaming\AVG C:\Users\Sebastian\AppData\Local\{613219C3-8F37-4A4E-BB65-ECA096E8268F} C:\Users\Sebastian\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Sebastian\AppData\Local\ACCCx2_9_1_474.zip.aamdownload C:\Users\Sebastian\AppData\Local\ACCCx2_9_1_474.zip.aamdownload.aamd CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Wypowiedz się też czy są jakieś zmiany po resecie bazy PeerNetworking, choć mam szczere wątpliwości czy będą tu widoczne rezultaty.

A kysz, link podmieniony na nieaktywny. To jedna z wielu stron falsyfikatów, jakoby z instrukcjami usuwania malware, a celem zasadniczym jest wmanipulowanie w pobranie linkowanego tam lewego usuwacza SpyHunter. Ani w treść (jeszcze na dodatek z translatora), ani w narzędzie nie można pokładać żadnej wiary. Niestety tego typu fałszywki to plaga Google, "opisy" te są bardzo wysoko pozycjonowane i pierwsze na co trafia delikwent to właśnie na te szkodliwe instrukcje. Co drugi log na forum pokazuje zainstalowany SpyHunter, który rzecz jasna w rozwiązaniu problemów nie pomógł... 1. Czyszczenie systemu zostało tu ukończone. By sfinalizować zadanie, jeszcze zastotuj DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK. 2. Problem z wydajnością dysku i grami: nic tu nie wskazuje, by była to pochodna infekcji, podstawowe czynności redukcji procesów nie przyniosły wyraźnej poprawy, w raportach FRST żadnych tropów. - Na wszelki wypadek sprawdź czy jakieś zmiany nastąpią po deinstalacji NVIDIA GeForce Experience 2.4.5.57 (aktualizator wprowadzający zbędne procesy), a jeśli brak zmian: - Załóż temat w dziale Hardware, podając dane wymagane działem: KLIK. Podaj tam też link do tego tematu, by było wiadome co wykonywano już. Wątkiem sprzętowym zajmie się kto inny, ja nie jestem specjalistą tej tematyki.

W systemie są dwa typy infekcji: adware/PUP + starsza infekcja robakiem przenoszonym via pendrive (home.vbe). Nadal liczne elementy infekcji: aktywne szkodliwe procesy i moduły, szkodliwe proxy, modyfikacja serwerów DNS, przekierowania w pliku Hosts, niepożądany program MPC AdCleaner. Na dodatek, kompletnie nieaktualizowany (brak SP1 i IE11) i niezabezpieczony system... Operacje do wdrożenia: 1. Deinstalacje: - Wejdź do folderu C:\Program Files (x86)\MPC AdCleaner i wyszukaj plik deinstalatora, z prawokliku "Uruchom jako Administrator". - Przez Panel sterowania odinstaluj też stare wersje: Adobe Flash Player 18 PPAPI, Akamai NetSession Interface, Java 8 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [gplyra] => C:\Users\Lelo\AppData\Roaming\gplyra\gplyra\start.cmd [216 2016-01-19] () HKU\S-1-5-21-3992996756-2334413397-797887538-1000\...\Policies\Explorer: [] AppInit_DLLs: C:\ProgramData\Holdtam\RedZunity.dll => C:\ProgramData\Holdtam\RedZunity.dll [363520 2016-04-13] () AppInit_DLLs-x32: C:\ProgramData\Holdtam\Sandox.dll => C:\ProgramData\Holdtam\Sandox.dll [257536 2016-04-13] () Startup: C:\Users\Lelo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-10-27] () S2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe [400384 2016-04-12] () [brak podpisu cyfrowego] S2 Holdtam; C:\ProgramData\\Holdtam\\Holdtam.exe [1075200 2016-04-13] () [brak podpisu cyfrowego] R2 Khiufa; C:\Users\Lelo\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] () S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] R1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] Task: {0F75E44B-1343-47AC-84D3-605DB44606B4} - System32\Tasks\MPC AdCleaner => C:\Program Files (x86)\MPC AdCleaner\AdCleaner.exe [2016-03-10] (DotC United Inc) Task: {85D58C27-6D1E-4772-84DB-0E19D1603E8B} - System32\Tasks\{0B1350B9-C0CD-44E1-825F-DA6DCE7FE64B} => pcalua.exe -a C:\Users\Lelo\AppData\Local\Temp\VSDF3E1.tmp\DotNetFx35Client\DotNetFx35ClientSetup.exe -d E:\Pobrane -c /lang:enu /passive /norestart Task: {CDDD06C2-953D-4004-BADF-438333BACC09} - System32\Tasks\WindowsUpda2ta => C:\Users\Lelo\AppData\Roaming\MICROSOFT\home.vbe [2015-10-27] () Task: {FF016734-2472-4D11-BB52-D218BA0C489C} - System32\Tasks\{3DD9FE2C-E841-4B39-8E1D-D7DDC2E33E33} => pcalua.exe -a E:\Pobrane\LeagueofLegends_EUNE_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\Lelo\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:3300 Winsock: Catalog5 01 C:\Windows\SysWOW64\NLAapi.dll [51712 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 02 C:\Windows\SysWOW64\mswsock.dll [232448 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 C:\Windows\SysWOW64\winrnr.dll [20992 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\winrnr.dll" Winsock: Catalog5 04 C:\Windows\SysWOW64\napinsp.dll [52224 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\napinsp.dll" Winsock: Catalog5 05 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll" Winsock: Catalog5 06 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll" Tcpip\..\Interfaces\{2C63FCC9-C3F4-4A8F-BF59-D820C7D6C61A}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{3F3ACCFD-AD2E-403D-9CE2-0811D5E774D6}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{74D7DA7B-95E7-4855-BD01-33698BB392E1}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptXiNjz3Ia7s7wvuKUl6x4obHlEbPS5NsOy-Xg_l5D-5vZPf-GTzbhCowvg1eog1jSgcbUNP7P_kU8oSUbpA_udo-6ZTdy5Ows9zU_-U8YvITrlJTsrTj2GXmWW4ziUx0Ic9MfPZNr9n82h3UybsNAIUnxCse3&q={searchTerms} HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptXiNjz3Ia7s7wvuKUl6x4obHlEbPS5NsOy-Xg_l5D-5vZPf-GTzbhCowvg1eog1jSgcbUNP7P_kU8oSUbpA_udo-6ZTdy5Ows9zU_-U8YvITrlJTsrTj2GXmWW4ziUx0Ic9MfPZNr9n82h3UybsNAIUnxCse3&q={searchTerms} HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptXiNjz3Ia7s7wvuKUl6x4obHlEbPS5NsOy-Xg_l5D-5vZPf-GTzbhCowvg1eog1jSgcbUNP7P_kU8oSUbpA_udo-6ZTdy5Ows9zU_-U8YvITrlJTsrTj2GXmWW4ziUx0Ic9MfPZNr9n82h3UybsNAIUnxCse3&q={searchTerms} HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl SearchScopes: HKLM -> DefaultScope {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-3992996756-2334413397-797887538-1000 -> DefaultScope {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.mpc.am/index/search?q={searchTerms}&cx=partner-pub-3796753109442372:3837783968&ie=UTF-8 SearchScopes: HKU\S-1-5-21-3992996756-2334413397-797887538-1000 -> {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.mpc.am/index/search?q={searchTerms}&cx=partner-pub-3796753109442372:3837783968&ie=UTF-8 StartMenuInternet: IEXPLORE.EXE - iexplore.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4D5D608E-322F-44FE-BA6C-8D4FC1FB92AB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\extensions C:\Program Files\Enigma Software Group C:\Program Files (x86)\badu C:\Program Files (x86)\MPC AdCleaner C:\Program Files (x86)\MPC Cleaner C:\ProgramData\DCHP C:\ProgramData\Holdtam C:\ProgramData\Holdtams C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery C:\uninst C:\Users\Lelo\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Lelo\AppData\Local\Chromium C:\Users\Lelo\AppData\Local\Tempfolder C:\Users\Lelo\AppData\LocalLow\Company C:\Users\Lelo\AppData\Roaming\*.* C:\Users\Lelo\AppData\Roaming\Eepubseuig C:\Users\Lelo\AppData\Roaming\gplyra C:\Users\Lelo\AppData\Roaming\Mozilla C:\Users\Lelo\AppData\Roaming\MCorp C:\Users\Lelo\AppData\Roaming\Microsoft\home.vbe C:\Users\Lelo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Lelo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DevID Agent C:\Users\Lelo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner C:\Users\Lelo\Downloads\sh-remover.exe C:\Users\Public\Documents\dmp C:\Windows\system32\rig C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\etc\hp.bak CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Jak najbardziej nieudolna zmiana ścieżki Program Files może produkować te objawy. I raport CCleaner jasno wskazuje, że edycja i tak była tylko częściowa, uruchamiane programy w rejestrze nadal mają odwołanie do C:\Program Files (64-bit) i C:\Program Files (x86) (32-bit). Jak sądzę, to ledwie część problemu i jest multum innych odniesień do poprzedniej ścieżki w rejestrze. Nie wiadomo też w jaki sposób edycję wykonano, co zmieniono konkretnie i gdzie, czy adresowano rozdzielność bitów (dwa odrębne katalogi C:\Program Files + C:\Program Files (x86)). Jeśli pijesz do zmiany wartości ProgramFilesDir, to nawet nie jest wystarczająca edycja i nie spowoduje ona automatycznej aktualizacji już poprzednio nagranych w rejestrze ścieżek dostępu. Zmiana ścieżki Program Files już zainstalowanego systemu jest o wiele bardziej skomplikowana, należy poprawić multum innych wpisów w rejestrze, wliczając też te bardziej "zamaskowane" jak np. w systemie nazw 8+3, to co figuruje w Autostarcie CCleaner to ledwie cząstka zagadnienia. Na forum było sporo tematów z takimi nieudanymi edycjami, np. KLIK, KLIK, KLIK. W sytuacji tu zastanej klaruje się użycie Przywracania systemu do stanu sprzed felernej edycji. A jeśli to awykonalne (brak punktów lub niedziałanie funkcji), ręczne odkręcenie edycji ścieżek (edytowałaś, więc wiesz gdzie). Na przyszłość: nie kombinuj ze zmianą ścieżek Program files, to ma więcej negatywnych skutków niż korzyści, jeśli wykona się to niepoprawnie. Zostaw domyślne ustawienie i po prostu nowo instalowane programy kieruj podczas ich instalacji do folderu na innej partycji.

Czy to na pewno jest raport FRST po "deinstalacji" ESET? W raporcie program aktywny na fula, żadnych oznak jego poprawnej deinstalacji.

Temat przenoszę do działu Windows, choć są tu ślady wirusa Sality (wyglądają na nieaktywne szczątki, skanery nic nie wykrywają). Notowalne następujące problemy: 1. Uszkodzenie bazy Usług kryptograficznych, obrazowane w logu jako masowy odczyt Brak podpisu cyfrowego dla usług i sterowników. Uruchom narzędzie Fix It 50202 (działa na XP): KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2. 2. Kolejne uszkodzenie to dewastacja kluczy Trybu awaryjnego wykonana przez Sality: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal" Brak klucza i wymagana ręczna naprawa. "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network" Brak klucza i wymagana ręczna naprawa. Pobierz tę paczkę: KLIK. Uruchom z paczki plik SafeBootWinXP.reg, potwierdź import do rejestru. 3. Błędy advapi32.dll "nie znaleziono punktu wejścia procedury" wskazują, że plik w systemie jest starszy niż wersja której wymaga dany program lub plik jest uszkodzony. Po pierwsze, plik mógł uszkodzić wirus Sality. Po drugie tu jest archaiczny system XP, więc albo brakuje Ci jakiś łat wydanych później niż SP3 (prawdopodobne, na co wskazuje też mega stara wersja IE6), albo program wymaga wyższej wersji niż dostępna dla XP. Do wykonania wszystkie aktualizacje z Windows Update. A wątpliwy program Dll-Files.com odinstaluj. 4. Zresetuj reguły Zapory systemu Windows. Start > Uruchom > cmd i wpisz komendę netsh firewall reset. 5. Po wszystkim zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Poprzednio zabrakło właśnie tego trzeciego obowiązkowego raportu. Będą doczyszczane inne śmieci.

Adesując stary wątek, to nie jest problem infekcji i temat jedzie do działu Windows. W Harmonogramie tylko drobny i już nieaktywny szczątek adware Gameo, plus mini drobnostki tu i ówdzie. Do wyczyszczenia potem, gdyż to nieistotne pod kątem: ==================== Centrum zabezpieczeń ======================== AV: Bitdefender Ochrona antywirusowa (Disabled - Up to date) {9A0813D8-CED6-F86B-072E-28D2AF25A83D} AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} AS: Bitdefender Moduł antyszpiegowski (Disabled - Up to date) {2169F23C-E8EC-F7E5-3D9E-13A0D4A2E280} AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} FW: Bitdefender Zapora sieciowa (Disabled) {A23392FD-84B9-F933-2C71-81E751F6EF46} W Twojej konfiguracji jedno ze zgłoszeń jest naturalne. Jeśli w systemie jest zainstalowany antywirus bądź pakiet innej firmy, systemowy Windows Defender jest automatycznie deaktywowany i nie można go już uruchomić. Jego stan jest przywracany po deinstalacji zewnętrznego antywirusa. Czyli problemem jest tu tylko stan BitDefender - wg odczytu z Centrum zabezpieczeń są wyłączone wszystkie moduły. Spróbuj BitDefender przeinstalować "od zera", tzn. w pierwszej kolejności pełna deinstalacja połączona też z ręcznym usuwaniem katalogów z dysku. I niedziałanie jest konsekwencją błędów na dysku. W Dzienniku zdarzeń pasujące błędy, w tym jeden z nich nawet konkretnie wskazuje uszkodzony plik BitDefender: Dziennik System: ============= Error: (03/01/2016 09:18:06 AM) (Source: Ntfs) (EventID: 55) (User: ZARZĄDZANIE NT) Description: Wykryto uszkodzenie w strukturze systemu plików woluminu C:. W strukturze indeksu systemu plików znaleziono uszkodzenie. Numer odwołania do pliku: 0x200000001d412. Nazwa pliku: „\Windows\Microsoft.NET\assembly\GAC_64”. Atrybut uszkodzonego indeksu: „:$I30:$INDEX_ROOT”. Lokalizacja bloku uszkodzonego indeksu: VCN 0xffffffffffffffff, LCN 0xffffffffffffffff. Uszkodzenie rozpoczyna się od przesunięcia 280 wewnątrz bloku indeksu. Error: (02/29/2016 07:23:27 PM) (Source: Ntfs) (EventID: 55) (User: ZARZĄDZANIE NT) Description: Wykryto uszkodzenie w strukturze systemu plików woluminu C:. W strukturze indeksu systemu plików znaleziono uszkodzenie. Numer odwołania do pliku: 0x70000000260d9. Nazwa pliku: „\Program Files\Bitdefender\Bitdefender 2015\active virus control\Avc3_00328_004”. Atrybut uszkodzonego indeksu: „:$I30:$INDEX_ALLOCATION”. Należałoby także wykonać skany chkdsk. Jeden z nich już stoi jako zaplanowany: BootExecute: autocheck autochk /m /f \Device\HarddiskVolume3autocheck autochk * Odpowiada to komunikatowi z Centrum: "Ponowne uruchamianie w celu naprawy błędów na dysku (ważne)".

Jeśli chodzi o punkt 2, otwierasz dowolny folder, w pasku adresów klikasz by podświetlić całą ścieżkę, wklejasz podaną przeze mnie i ENTER. W folderze jest plik Internet explorer (bez dodatków), prawy klik na niego i edytujesz zgodnie z wytycznymi. Po wykonaniu operacji podaj raporty o które prosiłam.

Wiem, że SpyHunter został co dopiero zainstalowany, jego powód deinstalacji inny. Głównym podejrzanym pod kątem zgłaszanych objawów jest stary ESET.

O ile problem nadal aktualny, ten zgłaszany błąd "Explorer.EXE" powinien być pochodną martwego już wpisu malware: HKU\S-1-5-21-1959427491-852045911-1794719735-1001\...\CurrentVersion\Windows: [Load] C:\Users\Rexus\AppData\Roaming\Microsoft\Blend\14.0\FeedCache\protocolhost.exe Czyli do usunięcia szczątki szkodników i inne puste wpisy. Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1959427491-852045911-1794719735-1001\...\CurrentVersion\Windows: [Load] C:\Users\Rexus\AppData\Roaming\Microsoft\Blend\14.0\FeedCache\protocolhost.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [updReg] => C:\WINDOWS\UpdReg.EXE S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] C:\Program Files (x86)\qq C:\ProgramData\6d4af916947c08af2de97a2c3b876fa1afbf253b C:\ProgramData\89097884600a62f8b1eb02acdfe3fc804563b2ce C:\ProgramData\728936 C:\ProgramData\729036 C:\ProgramData\841399 C:\ProgramData\841499 C:\Users\Rexus\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Rexus\AppData\Roaming\Microsoft\Blend C:\Users\Rexus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\8f5c8d9e-5e02-46cf-adea-4ad6cb1021a7.lnk C:\Users\Rexus\AppData\Roaming\Microsoft\Word\CV%20Marta3305039152090491437\CV%20Marta3.docx.lnk C:\Users\Public\Documents\dmp DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v gplyra /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy błąd ustąpił.

Sprawdź czy będą zmiany po wykonaniu tzw. czystego rozruchu: KLIK.

O ile problem nadal aktualny: Uruchomienie normalnej deinstalacji jest pierwszym krokiem, który może zlikwidować w naturalny sposób większość komponentów. Siłowe usuwanie skryptem FRST i podobnymi to już druga faza. Skoro metoda via Dodaj/Usuń zgłasza błąd o braku uprawnień administracyjnych, to czy jest możliwe jedno z tych: 1. Uruchomienie pliku deinstalacyjnego bezpośrednio z folderu C:\Program Files\Tencent? 2. Ponowienie operacji z poziomu Trybu awaryjnego Windows? Dopiero, gdy padnie odpowiedź negatywna w obu przypadkach, podam instrukcje siłowego usunięcia komponentów Tencent.

Posługujesz się potwornie starym FRST, od tego czasu już było multum wersji z nowymi detekcjami i poprawkami: Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version:13-06-2015 Temat przenoszę do działu Windows. Nie jest to problem infekcji. Sugestie wstępne: 1. Odinstaluj strasznie stary ESET (to wersja na sterownikach z 2012!) oraz wątpliwy skaner SpyHunter. Cracowanie SpyHunter, którym się parałeś, było tu conajmniej nie na miejscu, pomijając oczywiste znaczenie tego faktu. W przypadku gdy SpyHunter nie będzie chciał się odinstalować, skorzystaj z narzędzia SpyHunterCleaner. 2. Pobierz najnowszy FRST z przyklejonego (KLIK) i zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Opisz czy po usunięciu ESET jest poprawa.