jessica

Jeśli @Picasso nie zgłosi jakichś zastrzeżeń, to będziemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

FSS - usuń ręcznie.

jessi

jak usunąć adware w Firefox?

Pewnie chodzi o to rozszerzenie:

FF Extension: Real Summer Sale - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\aa5nr8rp.default\Extensions\realsummersale1@realsummersale.com [2013-08-07]

Otwórz Notatnik i wklej w nim:

FF Extension: Real Summer Sale - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\aa5nr8rp.default\Extensions\realsummersale1@realsummersale.com [2013-08-07]

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

jessi

Daję też do usuwania instalkę Unlockera z DobrychProgramów, bo do niej może być przyklejony jakiś śmieć.

Otwórz Notatnik i wklej w nim:

Task: {4C477156-51A2-4762-B739-E14B9F142371} - System32\Tasks\{B0BD1CC9-7BFA-4DE0-9CB8-0DA9597D0CB4} => pcalua.exe -a C:\Users\woint\AppData\Roaming\istartsurf\UninstallManager.exe -c  -ptid=smt
C:\Users\woint\AppData\Roaming\istartsurf
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Windows\Minidump\062515-11341-01.dmp
C:\Windows\Minidump\062515-10764-01.dmp
C:\Users\woint\Downloads\Unlocker(12240)-dp.exe
EmptyTemp:

jessi

Nic się nie usunęło.

Spróbuj w Trybie Awaryjnym (F8 przed startem Systemu)

jessi

1) Odinstaluj:
 

uTorrentControl2 Toolbar (HKLM-x32\...\uTorrentControl2 Toolbar) (Version: 6.15.0.27 - uTorrentControl2) <==== ATTENTION

 

2) Ja głosuję na Avasta, ale nie mam zamiaru nikomu go narzucać - każdy musi wybrać sam.

jessi

Zapisałem ten FIX.REG, ale w momencie uruchamiania niestety wyskakuje błąd.

"Cannot import C:\Users\Jurek\Desktop\FIX.REG: Not all data was successfully written to the registry. Some keys are open by the system or the processes."

W takim razie rób następne kroki, potem do tego wrócimy.

jessi

możliwe, że infekcja to utrudnia.

Przejdź do następnego kroku, a potem zrób nowe logi FRST - zobaczymy, co się usunęło, a co nie.

jessi

1) Adw-Cleaner nie zaplanował usuwania niczego "dobrego", wiec pozwolimy mu usunąć to, co wykrył:

najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

2) Otwórz Notatnik i wklej w nim:

C:\Users\woint\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
Startup: C:\Users\woint\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk [2015-06-22]
ShortcutTarget: u.lnk -> C:\Users\woint\AppData\Roaming\obsxaeimql.exe ()
C:\Users\woint\AppData\Roaming\obsxaeimql.exe
R2 VSSS; C:\Users\woint\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]
C:\Program Files\kprocesshacker.sys
C:\Program Files\3O9K5YR4.exe
:\Users\woint\Downloads\RKill(39918)-dp.exe
C:\Users\woint\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

jessi

Process  C:\Users\woint\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe (*** suspicious ***) @ C:\Users\woint\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [2076] (Microsoft® Volume Shadow Copy Service/Microsoft Corporation)(2015-06-23 08:11:29)  0000000000400000

Library  C:\Users\woint\AppData\Local\Temp\cdo465657273.dll (*** suspicious ***) @ C:\Windows\SysWOW64\msiexec.exe [2664] (Microsoft CDO for Windows Library/Microsoft Corporation)(2015-06-24 18:46:01)                                                               0000000000370000

 

chyba się worek rozpruł z tym - to kolejny podobny temat.

dałeś dwa logi Additional.txt, a żadnego FRST.txt - uzupełnij to.

Dodatkowo:

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

Zrób log z Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323

jessi

1) Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>  > z prawokliku Scal
 

2) Otwórz Notatnik i wklej w nim:

HKLM\...\Policies\Explorer\Run: [1540457261] => C:\ProgramData\msequ.exe
C:\Windows\Minidump\*.dmp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XnView\XnView - Help.lnk
C:\found.004
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

3) Zrób nowy log z FSS

4) Zrób nowe logi z FRST - już bez Shortcut.

5) Napisz, jaka sytuacja z Antywirusem?

jessi

Ja w logach nie widzę niczego podejrzanego.

Otwórz Notatnik i wklej w nim:

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1414606442&from=cor&uid=SanDiskXSDSSDHP128G_142046401072
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\...\Run: [] => [X]
EmptyTemp:

jessi

Otwórz Notatnik i wklej w nim:

C:\Users\pikus\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
R2 VSSS; C:\Users\pikus\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
HKLM\...\Run: [EfficientStickyNotes] => [X]
HKU\S-1-5-21-3383955824-2591044982-1744693773-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msdfn.exe <===== ATTENTION
C:\ProgramData\msdfn.exe
SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://startsear.ch/?aff=2&src=sp&cf=76cc6838-476c-11e1-8738-00235aeb9396&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3383955824-2591044982-1744693773-1000 -> {70D46D94-BF1E-45ED-B567-48701376298E} URL = http://127.0.0.1:4664/search&s=hchNhnlcDDw3nQtIBXE15sMJ-Bo?q={searchTerms}
BHO: IE5BarLauncherBHO Class -> {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} -> C:\Program Files\StartSearch plugin\ssBarLcher.dll No File
Toolbar: HKLM - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll No File
Toolbar: HKU\S-1-5-21-3383955824-2591044982-1744693773-1000 -> StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll No File
FF SearchEngineOrder.1: Web Search
FF Keyword.URL: hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=
FF SearchPlugin: C:\Users\pikus\AppData\Roaming\Mozilla\Firefox\Profiles\nxkq2psm.default\searchplugins\web-search.xml [2011-02-17]
S3 LgBttPort; system32\DRIVERS\lgbtport.sys [X]
S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [X]
S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
3 andnetadb; System32\Drivers\lgandnetadb.sys [X]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
2015-06-23 18:59 - 2015-06-23 18:59 - 01169408 _____ (wj32) C:\Program Files\KS08GOW6.exe
2015-06-23 18:59 - 2015-06-23 18:59 - 01169408 _____ (wj32) C:\Program Files\086EMU2C.exe
2015-06-23 18:58 - 2015-06-23 18:58 - 01169408 _____ (wj32) C:\Program Files\CKS086E8.exe
2015-06-23 17:13 - 2015-06-23 17:13 - 01169408 _____ (wj32) C:\Program Files\86EMU20A.exe
2015-06-23 17:12 - 2015-06-23 17:12 - 01169408 _____ (wj32) C:\Program Files\U208GOW6.exe
2015-06-23 15:44 - 2015-06-23 15:44 - 01169408 _____ (wj32) C:\Program Files\FNV3BJRL.exe
2015-06-23 10:15 - 2015-06-23 10:15 - 01169408 _____ (wj32) C:\Program Files\Z75DLT1V.exe
2015-06-23 10:15 - 2015-06-23 10:15 - 01169408 _____ (wj32) C:\Program Files\V3BJRZ71.exe
2015-06-23 10:15 - 2015-06-23 10:15 - 01169408 _____ (wj32) C:\Program Files\PX53BJRL.exe
2015-06-23 10:15 - 2015-06-23 10:15 - 01169408 _____ (wj32) C:\Program Files\19HPX5D7.exe
2015-06-23 10:14 - 2015-06-23 10:14 - 01169408 _____ (wj32) C:\Program Files\T197FNVP.exe
C:\Users\pikus\AppData\Local\Temp*.html
EmptyTemp:

Zrób nowe logi FRST - już bez Shortcut.

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

jessi

Otwórz Notatnik i wklej w nim:

C:\Users\Jurek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
R2 VSSS; C:\Users\Jurek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-3202079706-1851762946-1585998374-1002\...\Run: [] => [X]
HKU\S-1-5-21-3202079706-1851762946-1585998374-1002\...\Run: [backgroundContainerV2] => "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Jurek\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun
HKU\S-1-5-21-3202079706-1851762946-1585998374-1002\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
URLSearchHook: [s-1-5-21-3202079706-1851762946-1585998374-1002] ATTENTION ==> Default URLSearchHook is missing
BHO: Hotspot Shield Class -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll No File
BHO-x32: uTorrentControl2 Toolbar -> {687578b9-7132-4a7a-80e4-30ee31099e03} -> C:\Users\Jurek\AppData\LocalLow\uTorrentControl2\prxtbuTo2.dll [2014-09-23] (ClientConnect Ltd.)
Toolbar: HKLM-x32 - uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Users\Jurek\AppData\LocalLow\uTorrentControl2\prxtbuTo2.dll
FF SearchPlugin: C:\Users\Jurek\AppData\Roaming\Mozilla\Firefox\Profiles\2tv9h9un.default\searchplugins\conduit.xml [2012-06-07]
2015-06-24 16:34 - 2015-06-24 16:34 - 01415680 _____ (wj32) C:\Program Files\JNKU9C0V.exe
2015-06-24 16:34 - 2015-06-24 16:34 - 01415680 _____ (wj32) C:\Program Files\DSVZEHL0.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\S6K0KY8G.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\GVADSWVK.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\FIX1GJNK.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\DN1LV9T3.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\BEHTWY14.exe
2015-06-24 16:33 - 2015-06-24 16:33 - 01415680 _____ (wj32) C:\Program Files\7AEHW037.exe
2015-06-24 16:32 - 2015-06-24 16:32 - 01415680 _____ (wj32) C:\Program Files\A0M7TK5R.exe
2015-06-24 15:48 - 2015-06-24 15:48 - 01415680 _____ (wj32) C:\Program Files\TE0MCYJ5.exe
2015-06-24 15:48 - 2015-06-24 15:48 - 01415680 _____ (wj32) C:\Program Files\JM158C5T.exe
2015-06-24 15:48 - 2015-06-24 15:48 - 01415680 _____ (wj32) C:\Program Files\GFSOKXWR.exe
2015-06-24 15:48 - 2015-06-24 15:48 - 01415680 _____ (wj32) C:\Program Files\BIMKU15J.exe
2015-06-24 15:48 - 2015-06-24 15:48 - 01415680 _____ (wj32) C:\Program Files\59D6DHLD.exe
2015-06-24 15:32 - 2015-06-24 15:32 - 01415680 _____ (wj32) C:\Program Files\LSW0704W.exe
2015-06-24 15:32 - 2015-06-24 15:32 - 01415680 _____ (wj32) C:\Program Files\LSW04X1T.exe
2015-06-24 15:32 - 2015-06-24 15:32 - 01415680 _____ (wj32) C:\Program Files\IM1GJY2H.exe
2015-06-24 15:32 - 2015-06-24 15:32 - 01415680 _____ (wj32) C:\Program Files\HL037APK.exe
2015-06-24 15:32 - 2015-06-24 15:32 - 01415680 _____ (wj32) C:\Program Files\DHOHLPWA.exe
C:\found.00*
C:\ProgramData\msequ.exe
EmptyTemp:

Zrób nowe logi FRST.

Zrób log z b]Farbar Service Scanner[/b] >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

jessi

W logu widać to tylko w Operze:

Otwórz Notatnik i wklej w nim:

OPR Extension: (Faster Light) - C:\Documents and Settings\Marcin.ANONIM\Dane aplikacji\Opera Software\Opera Stable\Extensions\hmcjnmimmnjbdcebkealcbleinlfpikh [2015-06-04]
EmptyTemp:

jessi

HKU\S-1-5-21-1343024091-1450960922-725345543-1004\...\MountPoints2: {0b4b9824-9c6f-11de-a184-00248c7ecc1c} - J:\EXPLORER.EXE

Niezbyt to mi się podoba, ale być może to tylko ślad - "J" nie był podpięty w czasie robienia logów.

Na razie nie kończymy, bo może jeszcze @Picasso coś doda.

A jeśli nic nie doda, to wtedy zrobisz to:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

jessi

Otwórz Notatnik i wklej w nim:

HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Alwil Software <====== ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 nmwcd; system32\drivers\ccdcmb.sys [X]
S3 nmwcdc; system32\drivers\ccdcmbo.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]
S3 SymIM; system32\DRIVERS\SymIM.sys [X]
S3 SymIMMP; system32\DRIVERS\SymIM.sys [X]
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [X]
S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltj.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

Zrób nowe logi FRST. (już bez Shortcut)

Napisz, czy to poprawiło sytuację?

jessi

MediaGet2 - to chyba raczej nie powinno być usuwane, ale najwyżej sobie potem przeinstalujesz (tylko aby nie z "Dobrych Programów!).

FileViewPro - jak wyżej.

Adw-Cleaner: najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

Potem zrób nowe logi FRST, sprawdzimy, czy samoczynnie zniknęło to:

HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared <====== ATTENTION

HKLM Group Policy restriction on software: C:\Program Files\Alwil Software <====== ATTENTION

jessi

1. Odinstaluj te programy: FunDoeals, saavoE nEt, SaaveLotss, SkypEmoticons, SNT, SW_Sustainer 1.80, YoutubeAdblocker.

2. Zrób log z AdwCleaner. Sprawdzimy, czy nie chce usunąć czegoś "dobrego".

jessi

virustotal zgłosił 2 na 56

 

to za mało, by uznać plik za "zły"

 Będę czekać.

Na wszelki wypadek w międzyczasie zrób log z GMER https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

bo @Picasso na pewno by tego wymagała

R2 VSSS; C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [98895424 2015-06-23] (Microsoft Corporation) [File not signed]

Przy okazji sprawdź ten plik na --> JOTTI/ albo na VIRUSTOTAL

Plik nie ma sygnatury Microsoftu. U mnie w tej lokalizacji nie ma takiego pliku.

jessi

R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]

KProcessHacker2 => Service could not remove

Tego się nie da usunąć, nie wiem, dlaczego.

Pliku nie ma, ale to dalej działa.

HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1

HKLM\...\Policies\Explorer: [HideSCAHealth] 1

To zostało niby zmienione, ale w nowym logu jest dalej tak samo.

==================== Restore Points =========================

 

ATTENTION: System Restore is disabled

 

To nie zgadza się z logiem FSS:

System Restore:

============

FSS nie wykrył tu nic podejrzanego.

Ja już tu nic nie wymyślę, musisz czekać na @Picasso lu @Naathim.

Nie wiem, kiedy tu zajrzą, i czy w ogóle zajrzą.

jessi

Usuniemy to:

Otwórz Notatnik i wklej w nim:

Task: {8C684380-A92A-4360-8818-9F7D0CDFFEA5} - System32\Tasks\Soft installer => C:\Users\Korek\AppData\Local\Host installer\202798632_installcube.exe [2015-06-22] (welcome back)
C:\Users\Korek\AppData\Local\Host installer
EmptyTemp:

jessi

pierwszy raz na oczy to widze

dopisałam jeszcze w swoim poprzednim poście

========================= File: C:\Program Files\A09WD3KS.exe ========================

 

MD5: CD5E5EB5EBF1524A258684D3EE2DF642

Creation and modification date: 2015-06-23 21:40 - 2015-06-23 21:40

Size: 1415680

Attributes: ----A

Company Name: wj32

Internal Name: Process Hacker

Original Name: ProcessHacker.exe

Product Name: Process Hacker

Description: Process Hacker

File Version: 2.30.0.5267

Product Version: 2.30.0.5267

Copyright$creamod: Licensed under the GNU GPL, v3.

+

C:\Program Files\kprocesshacker.sys

 

Kojarzy Ci to z czymś?

To niby uznane jest za OK http://www.threatexpert.com/files/kprocesshacker.sys.html

------------------------------

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

 Z prawokliku plik Fix.REG wybierz opcję Scal

Otwórz Notatnik i wklej w nim:

HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1

HKLM\...\Policies\Explorer: [HideSCAHealth] 1

R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]

C:\Program Files\kprocesshacker.sys

C:\found.00*

G:\*lnk

CMD: attrib /d /s -s -h G:\*

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

Wejdź na dysk G - na nim jest folder bez nazwy, do którego infekcja przeniosła Twoje pliki.

Przenieś je o poziom wyżej, a folder bez nazwy usuń poprzez Shift+DEL.

Użyj USBFix z opcji VACCINATE.

Zrób nowy log USBFix LISTING.

Zrób nowe logi FRST - już bez Shortcut.

jessi

to stary fixlog