Większość programów nie działa

[lajkprops]

Witam , Mam następujący problem , k​omputer najprawdopodniej jest ostro zainfekowany.  Nie działa większość programów,  skype, firefox nie chce się wgl uruchomić, w programach wymagających sieci pokazuje że nie mam dostępu do internetu( a mam ),  jakieś głupie instalacje się właczają programó o których nigdy nie słyszałem i nie chciałem słyszeć.

Zrobiłem diagnos​tyke ale niestety podczas urzywania gmer komputer w trakcie jego pracy złapał error i reset. tak dwu krotnie.

Co z tym fantem zrobić? ​

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Mamy tu niewiarygodny atak instalacji adware, masa inwazyjnych obiektów, w tym mocne sterowniki (bsdriver i cherimoya są nieusuwalne bez uprzedniego wypięcia specjalnego filtra nałożonego na dysk). A problem z siecią wynika z licznych modyfikacji zrobionych przez adware: "DNS Unlocker" zmodyfikował serwery DNS, ponadto występuje rozległa modyfikacja sieciowego łańcucha Winsock. Na dodatek wygląda na to, że jest tu też infekcja typu Ads by Jabuticaba polegająca na modyfikacji wszystkich instancji systemowego pliku dnsapi.dll. 64-bitowy ma unikatową sumę kontrolną znajdowalną na Google tylko w Twoim temacie, a drugi plik został usunięty całkowicie:

 

C:\WINDOWS\system32\dnsapi.dll

[2015-07-10 04:14] - [2015-07-10 04:14] - 0680256 ____A (Microsoft Corporation) 04695E72D448EB1FB845597765372C67
 

C:\WINDOWS\SysWOW64\dnsapi.dll BRAK 
 
 

Będzie mnóstwo do zrobienia. Operacje wstępne do przeprowadzenia:
 

1. Przed podjęciem jakichkolwiek akcji włącz Przywracanie systemu (wyłączone podczas aktualizacji do Windows 10), bo będą tu operacje tego rodzaju, że musi być backup. Klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk C i klik w Konfiguruj > Włącz Ochronę systemu.
 

2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj:

• Adware/PUP: Compatible Web Directory, deealPPeeak, DNS Unlocker version 1.3, GamesDesktop 008.005010146, GamesDesktop 008.005010149, GamesDesktop 008.005010150, GoldenCoupon, IndepthSystem, Interenet Optimizer, jogotempo 3.4, ProShopopoer, SAvvErebooxx, SmartWeb, SwiftSearch 1.10.0.25. Jeśli nie instalowałeś świadomie, to także i Feed Notifier 2.6. W przypadku gdy coś będzie niewidoczne lub zwróci błąd deinstalacji, kontynuuj dalej.
• Stare wersje: Adobe AIR, Java 7 Update 71.

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CMD: fltmc detach bsdriver c: bsdriver
R2 bopihopu; C:\Program Files (x86)\4C4C4544-1447072269-3410-804B-CAC04F575931\knsw18C.tmp [389632 2015-11-18] () [brak podpisu cyfrowego]
R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2015-11-12] ()
R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [56736 2015-11-12] (Windows ® Win 7 DDK provider)
R2 hidekoqe; C:\Users\Admin\AppData\Local\4C4C4544-1447928267-3410-804B-CAC04F575931\qnsuCC3E.tmp [142336 2015-10-13] () [brak podpisu cyfrowego]
R2 NetTcpHandler; C:\Users\Admin\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] ()
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170656 2015-11-19] (TODO: )
R1 swsedrvr_vw_1_10_0_25; C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys [57720 2015-09-22] (SS)
R2 WdsManPro; C:\ProgramData\nWMiniPron\WMiniPro.exe [309384 2015-11-19] (DTools LIMITED)
S2 nejorudu; C:\Program Files (x86)\4C4C4544-1447072269-3410-804B-CAC04F575931\knsx5381.tmp [X]
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath
HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
HKLM-x32\...\Run: [gmsd_pl_42] => [X]
HKLM-x32\...\Run: [gmsd_pl_58] => [X]
HKLM-x32\...\Run: [rec_en_77] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010141] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010142] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010144] => [X]
HKLM-x32\...\Run: [smartWeb] => C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe [270368 2015-02-17] (SoftBrain Technologies Ltd.)
HKLM-x32\...\Run: [gmsd_pl_005010150] => C:\Program Files (x86)\gmsd_pl_005010150\gmsd_pl_005010150.exe [4018864 2015-11-18] ()
HKLM-x32\...\RunOnce: [upgmsd_pl_005010150.exe] => C:\Users\Admin\AppData\Local\gmsd_pl_005010150\upgmsd_pl_005010150.exe [3322544 2015-11-18] ()
HKU\S-1-5-21-1042416182-98707671-1076778749-1000\...\MountPoints2: {c03742cd-66a9-11e5-8d6d-f82fa8d23a24} - "G:\h3_setup.exe"
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-11-19]
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130868038469047866&GUID=AFEB1A28-6D52-45D6-8310-758BDD9640B6
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA&q={searchTerms}
HKU\S-1-5-21-1042416182-98707671-1076778749-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130868038469347883&GUID=AFEB1A28-6D52-45D6-8310-758BDD9640B6
HKU\S-1-5-21-1042416182-98707671-1076778749-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA
HKU\S-1-5-21-1042416182-98707671-1076778749-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=000328B0&OHP=http%3A%2F%2Fsearch.gboxapp.com%2F&OSP=http%3A%2F%2Fwww.bing.com%2Fsearch%3Fq%3D%7BsearchTerms%7D%26form%3DMSSEDF%26pc%3DMSSE
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKU\S-1-5-21-1042416182-98707671-1076778749-1000 -> DefaultScope {22C6696C-705B-41F9-B9EA-38EA23D95EE1} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKU\S-1-5-21-1042416182-98707671-1076778749-1000 -> {22C6696C-705B-41F9-B9EA-38EA23D95EE1} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.tohotweb.com?oem=sunadusv4&uid=S3P0Z5QA_ST500LT012-1DG142&tm=1447326074
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.tohotweb.com?oem=sunadusv4&uid=S3P0Z5QA_ST500LT012-1DG142&tm=1447326074
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation) ->
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation) ->
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1447074390&z=aa690d77bc55f85ba253731g9zez7m2e4mfz2gae4t&from=cmi&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA
StartMenuInternet: FIREFOX.EXE - c:\program files (x86)\mozilla firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1447327434&z=bcd9494f5ea5dcc10bae0bfg8zaz4mbc4o5m4gcz6t&from=face&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA
FF Plugin HKU\S-1-5-21-1042416182-98707671-1076778749-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku]
FF HKLM\...\Firefox\Extensions: [{64996ADF-8D22-4238-8780-A2A729C78CEE}] - C:\Program Files\groover121120151030\Firefox\{64996ADF-8D22-4238-8780-A2A729C78CEE}.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\extensions\searchengine@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\extensions\defsearchp@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\extensions\deskCutv2@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [{64996ADF-8D22-4238-8780-A2A729C78CEE}] - C:\Program Files\groover121120151030\Firefox\{64996ADF-8D22-4238-8780-A2A729C78CEE}.xpi => nie znaleziono
Task: {08BCDA4B-758E-4751-85DB-97C1196DFDCE} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {0C147D39-06BC-4AA9-A016-B0955CA5D5A8} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe
Task: {143547EC-3A07-4143-914E-5CA88D769CEE} - System32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe 
Task: {17A524AA-2293-4D19-9C28-358E90BBAE9A} - System32\Tasks\{EE244BF7-C3A7-41D8-8D1B-B10DC9EDFDFA} => pcalua.exe -a C:\Users\Admin\Desktop\czapla\twix\Twixtor5.00AEInstall.exe -d C:\Users\Admin\Desktop\czapla\twix
Task: {1E2CFD06-7B51-48A8-A1FF-7C3FE8E4981E} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {218A3D88-793E-451F-B60C-C789AB4FA6BC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {2A251D68-7312-42B9-AF68-46800A85DE69} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {2B419D12-A24E-44E5-9C91-82F6C5DA0F5B} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {2B7E1E77-07CB-44B0-A7B5-1D4A1E7A9C09} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {3B88BF28-F82E-4F0F-9BF1-75DE4E67B2B9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {48C40FA2-56C6-4C83-B1C4-95FC77D34A32} - System32\Tasks\Kaordauh => C:\PROGRA~1\GROOVE~1\Pivkas.bat
Task: {4C5941AB-27EB-41A8-9FEA-45ADD023D482} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {5A940432-EF4C-4DCD-81BD-3CE04A1CB262} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {5C9883C0-1D12-4F14-81AC-903D757DC124} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {5CB63101-265C-4BEC-BE16-754A8F8F2CE5} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {66F57709-E7B1-444A-BAC1-8247DFCFF0AD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {67370350-705A-404E-8733-63563C2A6A45} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {69969DFB-DB44-4C99-8A7A-5BCCDDE889DD} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {6CB1A7CA-DC8D-43BB-92A5-C99BCF7C3F90} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {6D228083-18F7-41A0-9BF8-A02BFC316DA3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {74ECC3F1-BA94-4238-907A-3164A8D81705} - System32\Tasks\DNSKINGSTON => dnskingston.exe 
Task: {8056C1EF-C567-45C6-BA41-FF0E8B644A57} - System32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe 
Task: {88C0B27F-4190-4FBE-AE18-5BB1539F0566} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {897DA573-01F5-4D7D-A99C-E9433C176A00} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {8E9F69BF-C5DD-4822-A69A-E22CAA3E86CC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {92F72A84-F1AA-4DA2-B990-597D7D87A5B8} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {9316BC52-8022-4586-8911-5494BC918444} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {98F8168E-A720-4E79-BAE6-3B7649837611} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {9E027816-B91A-42ED-BCB0-DA60F678A082} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) 
Task: {A7F442C4-E6AE-4DE7-8A7C-D5103FE0F856} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {A8B04005-D74E-4795-AAE8-DAECD136DF27} - System32\Tasks\{B79FBD18-B98F-4366-B4E2-44964FD67D3E} => pcalua.exe -a C:\ProgramData\suurfukeoepit\Og86n4BuaGSREH.exe -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
Task: {B455D9A5-6610-47D3-A3C8-A08146CB6710} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {B6FDC731-1354-4B75-8B29-48FC70EC254D} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {B825325A-8585-4B3B-8C09-E8F003CEF9C2} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {BCB4A44F-134B-4904-8B67-06D064A5D453} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {C293627F-8B1E-4CEA-927F-FEABDBBCBB70} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {C665E910-5DC3-4344-B97A-6E16367CC836} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {D32A3951-F871-4EB7-A4D6-FECF62CD7FFB} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {D4288A85-69AF-4B64-98C9-ACFDEA245FC8} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {D47FC382-EA00-4FE7-87CE-CF14FF35C897} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {DA4F76EC-BAD8-4120-B9FD-CD3863BF5D05} - System32\Tasks\{9BA368CF-6FF1-4148-97BD-2803DA17FB83} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt
Task: {DC99A43B-BDBD-4C8E-AA43-CE3E6D33B1CD} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {DE80C0C7-CC25-4208-98F2-16C10E9EC5E9} - System32\Tasks\{7952BCB5-A459-46A2-961D-8032E24765FD} => pcalua.exe -a "C:\Users\Admin\Desktop\Heroes of Might and Magic 3\setupreg.exe" -d "C:\Users\Admin\Desktop\Heroes of Might and Magic 3"
Task: {DE960D25-EC39-4B89-8881-7CAE35258A04} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {E4445741-F975-45C8-9A0D-E934A2EC3C47} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {F80B0ABF-3093-4BA1-B8DD-1593AE90BBD4} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{f081f9a9}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{8F213470-964F-4092-6B31-BC7570F31B5A}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{CA8C94BE-9F47-1B2E-90F8-D8C07119BD96}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C60D3D4E-3B20-5AB3-7F2C-9C946AD4080F}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010146_is1
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010149_is1
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010150_is1
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\jogotempo
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PopupProduct
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SmartWeb
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SwiftSearch_1.10.0.25
C:\END
C:\Program Files\groover121120151030
C:\Program Files (x86)\prefs.js
C:\Program Files (x86)\4C4C4544-1447072269-3410-804B-CAC04F575931
C:\Program Files (x86)\ChilliTorrent
C:\Program Files (x86)\DNS Unlocker
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\Google
C:\Program Files (x86)\jogotempo
C:\Program Files (x86)\SFK
C:\Program Files (x86)\SwiftSearch_1.10.0.25
C:\Program Files (x86)\Mozilla Firefox\cfg
C:\Program Files (x86)\Mozilla Firefox\browser\defaults
C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321
C:\ProgramData\bojfndnanloeabobldogokeaigpfhcai
C:\ProgramData\IePluginServices
C:\ProgramData\Interenet Optimizer
C:\ProgramData\websaver
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP
C:\Spacekace
C:\Users\Admin\AppData\Local\4C4C4544-1447075946-3410-804B-CAC04F575931
C:\Users\Admin\AppData\Local\4C4C4544-1447928267-3410-804B-CAC04F575931
C:\Users\Admin\AppData\Local\FileViewPro
C:\Users\Admin\AppData\Local\Google
C:\Users\Admin\AppData\Local\SmartWeb
C:\Users\Admin\AppData\Local\Tempfolder
C:\Users\Admin\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
C:\Users\Admin\AppData\LocalLow\Company
C:\Users\Admin\AppData\LocalLow\SmartWeb
C:\Users\Admin\AppData\Roaming\appdataFr3.bin
C:\Users\Admin\AppData\Roaming\LiveSupport.exe_log.txt
C:\Users\Admin\AppData\Roaming\regsvr32.exe_log.txt
C:\Users\Admin\AppData\Roaming\cpuminer
C:\Users\Admin\AppData\Roaming\istartpageing
C:\Users\Admin\AppData\Roaming\istartsurf
C:\Users\Admin\AppData\Roaming\mystartsearch
C:\Users\Admin\AppData\Roaming\NetService
C:\Users\Admin\AppData\Roaming\RunDir
C:\Users\Admin\AppData\Roaming\shortCutStore
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Adobe Premiere Pro CC.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo
C:\Users\Admin\Desktop\czapla\Adobe After Effects CS6.lnk
C:\Users\Admin\Desktop\czapla\Adobe Premiere Pro CC.lnk
C:\Users\Admin\Desktop\czapla\Vegas Pro 12.0 (64-bit).lnk
C:\Users\Admin\Downloads\esetsmartinstaller_plk*.*
C:\Users\Admin\Downloads\SkypeSetup*.exe
C:\uninst
C:\Windows\ehome
C:\WINDOWS\system32\Wuojeg64.dll
C:\WINDOWS\system32\WuojegOff.ini
C:\WINDOWS\system32\cobu
C:\Windows\system32\drivers\bsdriver.sys
C:\Windows\system32\drivers\cherimoya.sys
C:\Windows\system32\drivers\swsedrvr_vw_1_10_0_25.sys
C:\WINDOWS\system32\Drivers\etc\hp.bak
C:\Windows\system32\Tasks\Microsoft\Windows\Media Center
C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
C:\WINDOWS\SysWOW64\data.bin
C:\WINDOWS\SysWOW64\Number of results
C:\WINDOWS\SysWOW64\Wuojeg.dll
C:\WINDOWS\SysWOW64\Wuojeg.ini
C:\WINDOWS\SysWOW64\WuojegOff.ini
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: netsh winsock reset
CMD: for /d %f in ("C:\Program Files (x86)\gmsd_pl_*") do rd /s /q "%f"
CMD: for /d %f in (C:\ProgramData\*WMiniPro*) do rd /s /q "%f"
CMD: for /d %f in (C:\Users\Admin\AppData\Local\gmsd_pl_*) do rd /s /q "%f"
CMD: type C:\Windows\System32\Tasks\{6521BC9B-25EB-4D51-A42B-B8BD30A53809}
CMD: type C:\Windows\System32\Tasks\{70639A9C-2AA5-4F94-B2CC-69D24D97AF2A}
CMD: type "C:\Windows\System32\Tasks\zamknij komputer"
CMD: type "C:\Windows\System32\Tasks\wyłącz komputer"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Klawisz z flagą Windows + X > Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

 

5. Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

6. Zrób nowe logi:

• FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, Shortcut już nie jest mi potrzebny.
• Kolejny log z FRST na wyszukiwanie kopii plików. Uruchom FRST, w polu Szukaj wklej nazwę dnsapi.dll i klik w Szukaj plików.
• Oraz log z RepairDNS.

Dołącz też plik fixlog.txt.

[lajkprops]

Odinstalowałem dns unlocker poprzez wejście w lokalizacje gdzie był zainstalowany oraz usunałem program.

Niestety programu indepthsystem oraz internet Optimizer nie mogę odinstalować w żaden sposób. 

 

Przy próbie odinstalowania adobe air, wyskakuje komunikat aby pobrać aktualny składnik odtwarzania, po pobraniu tego programu, znów pojawia się ten komunikat.

 

Po wykonaniu wszystkich​ czynności firefox nadal nie działał odinstalowałem go i przy ponownej próbie instalacji wyskakuje identyczny błąd awarii co wcześniej

"​Przepraszamy!

Program Firefox uległ awarii w wyniku błędu. Przy następnym uruchomieniu nastąpi próba przywrócenia otwartych okien i kart. "

​

Addition.txt

FRST.txt

Search.txt

RepairDNS.txt

Fixlog.txt

[picasso]

Niestety programu indepthsystem oraz internet Optimizer nie mogę odinstalować w żaden sposób.

To już nieaktualne. Fix FRST miał zaplanowane usuwanie tego.

 

 

Przy próbie odinstalowania adobe air, wyskakuje komunikat aby pobrać aktualny składnik odtwarzania, po pobraniu tego programu, znów pojawia się ten komunikat.

Tym zajmiemy się potem.

 

 

Po wykonaniu wszystkich​ czynności firefox nadal nie działał odinstalowałem go i przy ponownej próbie instalacji wyskakuje identyczny błąd awarii co wcześniej

"​Przepraszamy!

Program Firefox uległ awarii w wyniku błędu. Przy następnym uruchomieniu nastąpi próba przywrócenia otwartych okien i kart. "

Problemem jest profil Firefox na dysku, deinstalacja go nie usuwa.

 

 

Jesteśmy w połowie zadań. Fix FRST usunął wszystko co zadałam (włącznie z odmontowaniem filtra z voluminu). RepairDNS zgodnie z przypuszczeniem wykrył infekcję 64-bitowego pliku dnsapi.dll i ponoć ją naprawił. To trzeba będzie sprawdzić. Nadal jednak brakuje pliku 32-bitowego na dysku. Poza tym, z dwóch szkodliwych rekodów DNS wstawionych przez DNS Unlocker pozostał nadal jeden. Kolejna porcja czynności:

 

 

1. Utwórz nowy profil Firefox. Klawisz z flagą Windows + X > Uruchom > wklej komendę i ENTER:

 

"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p

 

W menedżerze profilów Firefox załóż nowy profil i ustaw go jako domyślny, następnie stary profil usuń (usunie to zakładki i hasła).

 

2. Wykonaj pełną weryfikację plików systemowych. Klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklep komendę i ENTER:

 

sfc /scannow

 

Wyniki tej komendy wydrukuję sobie w skanie FRST.

 

3. Powtórz tę akcję, bo coś pominięte, że został jeden wpis:

 

Klawisz z flagą Windows + X > Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

4. Otwórz Notatnik i wklej w nim:

 

S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X]
HKLM-x32\...\Run: [gmsd_pl_005010146] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010149] => [X]
HKU\S-1-5-21-1042416182-98707671-1076778749-1000\...\MountPoints2: {c03742cd-66a9-11e5-8d6d-f82fa8d23a24} - "G:\h3_setup.exe"
SearchScopes: HKU\S-1-5-21-1042416182-98707671-1076778749-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA&q={searchTerms}
Task: {299466FC-EA1A-4AF6-BC8A-DECB2F3610A5} - System32\Tasks\{6521BC9B-25EB-4D51-A42B-B8BD30A53809} => c:\windows\system32\launchwinapp.exe [2015-07-10] (Microsoft Corporation)
Task: {C3690784-FB85-4257-9E0D-CC5714DA433B} - System32\Tasks\{70639A9C-2AA5-4F94-B2CC-69D24D97AF2A} => c:\windows\system32\launchwinapp.exe [2015-07-10] (Microsoft Corporation)
C:\Program Files (x86)\Feed Notifier
CMD: ipconfig /flushdns
CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[lajkprops]

Wiec tak gdy wykonują podpunkt 1. czyli uruchamiam menadzer plików firefox nadala wyskakuje mi ten komunikat. ( screenshot w załączniku pod nazwą błąd pulpit.

 

Fixlog.txt

FRST.txt

[picasso]

Profil Firefoxa będziemy usuwać na siłę, ale zanim do tego dojdzie są inne wątpliwości. Czy wykonałeś punkt numer dwa, czyli komendę sfc /scannow? W Fixlog nie ma żadnych wyników z tej komendy i nadal brakuje pliku C:\Windows\SysWOW64\dnsapi.dll, który miał być uzupełniony via SFC.

[lajkprops]

tak. wykonałem,  zrobiło scan

[picasso]

Skopiuj na Pulpit folder C:\Windows\Logs\CBS, spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

[lajkprops]

Proszę link

http://speedy.sh/2dghC/CBS.rar​

[picasso]

W logach CBS (bieżącym i zarchiwizowanych) nie ma żadnych oznak wykonania tego skanu. Powtórz zadanie, poczekaj aż skan się ukończy w oknie. Po tym otwórz Notatnik i wklej w nim:

 

CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[lajkprops]

Wybacz, jednak to ja źle wpisałem komendę, zrobiłem teraz skanowanie oto fixlog.

Fixlog.txt

[picasso]

SFC naprawił usterkę i zrekonstruował plik C:\Windows\SysWOW64\dnsapi.dll. Na wszelki wypadek sprawdź czy to nie zmieniło czegoś w uruchamianiu Firefox. Ale i tak będzie tu odtwarzany profil:

 

1. Skopiuj na Pulpit poniższe pliki, o ile w ogóle jest to potrzebne:

 

C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\cert8.db (baza certyfikatów)

C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\logins.json (plik trzymający zapamiętane hasła logowania)

C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\places.sqlite (baza danych trzymająca zakładki i historię)

 

2. Otwórz Notatnik i wklej w nim:

 

C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt.

 

3. Spróbuj uruchomić ponownie Firefox. Jeśli to się powiedzie, zrzuci na dysk nowy profil. Po tej akcji zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[lajkprops]

Wyskakuje taki błąd

Fixlog.txt

FRST.txt

[picasso]

Fix FRST niby usunął profil Firefox, ale on nadal figuruje w raporcie FRST. Kolejne podejście:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Admin\AppData\Local\Mozilla
RemoveDirectory: C:\Users\Admin\AppData\Roaming\Mozilla

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt.

 

2. Odinstaluj Firefox. Pobierz najnowszą wersję i zainstaluj ponownie. Uruchom przeglądarkę, co powinno utworzyć nowy profil.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[lajkprops]

Wszystko poszło zgodnie z planem

Fixlog.txt

FRST.txt

[picasso]

Wszystko wygląda już dobrze. Teraz będą dodatkowe skany. Jako pierwszy:

 

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[lajkprops]

O to i on.

AdwCleanerS1.txt

[picasso]

Dużo szczątków śmieci wykryte. Uruchom AdwCleaner ponownie. Tym razem wybierz jednak kombinację opcji Skanuj + Usuń. Dostarcz wynikowy log z operacji.

[lajkprops]

Raport:

AdwCleanerC1.txt

[picasso]

AdwCleaner kilku elementów nie był w stanie skasować. Poprawka. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{14EF423E-3EE8-44AE-9337-07AC3F27B744}
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files (x86)\deealpueeAKK
RemoveDirectory: C:\Program Files (x86)\topbuYer
RemoveDirectory: C:\ProgramData\deealpueeAKK

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[lajkprops]

aż tyle tego do usuwania?

Fixlog.txt

[picasso]

Tak, dużo operacji usuwania, bo w systemie był straszny śmietnik, a obecnie upewniam się w kwestii szczątków po infekcjach, których może nie być widać w raportach. AdwCleaner nie skasował tych kilku obiektów, bo najwyraźniej ich już nie było. Z AdwCleaner skończyliśmy, kolejna porcja:

 

Zainstaluj Malwarebytes Anti-Malware. Na końcowym ekranie instalacji odznacz opcję trial. Wykonaj pełny skan systemu za pomocą programu i dostarcz wynikowy log.

[lajkprops]

Ok. zrobione

koncowy log.txt

[picasso]

1. MBAM wykrył kolejne szczątki adware. Wszystko usuń za pomocą programu. Program zostaw sobie w systemie do skanów na żądanie.

2. Dla pewności zrób jeszcze skan za pomocą Hitman Pro. Nic nie usuwaj, tylko dostarcz log z wynikami.

[lajkprops]

nie mogę wstawić tego loga nie mam uprawnien to wstawianie tego typu plików