Miszel03

Rucek, skoro zacząłeś od skanu antywirusowego, to szkoda byłoby go marnować.
 
1. Zweryfikowałem detekcje obu skanerów, w tym przypadku AdwCleaner pokrywa w całości również Malwarebytes. Całość to komponenty odpadkowe - nie zrobią więc bałaganu usuwane metodą siłową. 

• Dla wszystkich detekcji AdwCleaner zastosuj akcję Oczyść. 
• Powtórz skan dla potwierdzenia wyniku zero detekcji.

2. Po tych zabiegach dostarcz log: z dezynfekcji AdwCleanerC0 oraz drugiego skanu potwierdzającego AdwCleanerS1, a także nowy zestaw raportów FRST.

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne: kasacja martwych wpisów / resztek po przeglądarce Google Chrome i Mozilla FireFox / czyszczenie sekcji tymczasowych (w tym systemowy kosz).

Temat przenoszę do działu Windows 10. 

CloseProcesses:
CreateRestorePont:
ContextMenuHandlers1: [FS_CTX] -> {B3026062-4D7E-3601-9A6B-622CEAC3FC5A} => C:\PROGRA~1\NOVIRU~1\FILESH~1\FS_SHL~1.DLL -> Brak pliku
ContextMenuHandlers3: [FS_CTX] -> {B3026062-4D7E-3601-9A6B-622CEAC3FC5A} => C:\PROGRA~1\NOVIRU~1\FILESH~1\FS_SHL~1.DLL -> Brak pliku
ContextMenuHandlers6: [FS_CTX] -> {B3026062-4D7E-3601-9A6B-622CEAC3FC5A} => C:\PROGRA~1\NOVIRU~1\FILESH~1\FS_SHL~1.DLL -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
HKU\S-1-5-18\...\Run: [] => [X]
S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X]
2018-03-03 14:42 - 2017-11-28 17:18 - 000000000 ____D C:\Program Files (x86)\Zemana AntiMalware
2018-03-03 14:23 - 2017-11-28 17:18 - 008362121 _____ C:\WINDOWS\ZAM.krnl.trace
2018-02-26 17:37 - 2018-02-26 17:37 - 000000000 ____D C:\Users\Gracjan\AppData\Roaming\TeamViewer
Folder: C:\Program Files\S17L
C:\Program Files (x86)\Google
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\Gracjan\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Gracjan\AppData\Local\Mozilla
C:\Users\Gracjan\AppData\Roaming\Mozilla
C:\Users\Gracjan\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

Witam, w ostatnim czasie dużo instalowałem i odinstalowywałem, system zwolnił... może został zainfekowany?

Co konkretnie masz na myśli pisząc, że system zwolnił?

Te detekcje Malwarebytes miały właśnie związek z modyfikacją preferencji. 

.Czy po operacji reinstalacji przeglądarki będę mógł włączyć opcje synchronizacji?

Skoro została zresetowana to tak. 

Jak na razie problem ustąpił.

Miło mi to słyszeć. 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Logu z adw nie mam.

A Malwarebytes? Na przyszłość: proszę takie logi zachowywać, jeśli zgłaszasz się na forum (mamy wtedy większy zakres informacji dot. infekcji).

Całość pomyślnie wykonana. Szkodliwy wpis usunięty. 

Poprawki: 

1. Niestety w Google Chrome zostały zmodyfikowane preferencję:

CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.trotux.com/?z=60704a4626e41bb05a5234bg4z7m4tcodzat1e7gbe&from=clc&uid=HitachiXHTS545050B9A300_101227PBN403M7HD7W3EX&type=hp"

Świadczy o tym to, że zarówno mechanizmy Google jak i FRST nie są w stanie tego usunąć. Wymagana jest kompleksowa reinstalacja przeglądarki:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

3. Napisz jak podsumowujesz obecną sytuację, czy problem ustąpił?

Raporty OTL kasuję - to przestarzałe i nieaktualizowane narzędzie, co oznacza, że nie może być już używane.

Od razu go odinstalowałem oraz wszystkie inne programy powiązane z nim użyłem AdwCleaner oraz Malwarebytes.

Proszę o dostarczenie raportów z tych skanów.

Za opisywany efekt odpowiedzialny jest wpis w Harmonogramie zadań, który uruchamia przeglądarkę Google Chrome z podmontowaną stroną adware. Po za kasacją tego ostałego elementu wyczyszczę system z martwych wpisów, a także resztek po przeglądarce Mozilla FireFox. 

Dezynfekcja: 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePont:
Task: {0494A984-6416-4A1E-8410-71FBAAC47DF2} - System32\Tasks\zokidifcomkui => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" zokidif.com/kui 
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 
HKU\S-1-5-21-713781742-3030469847-3236561710-1001\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKU\S-1-5-21-713781742-3030469847-3236561710-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.trotux.com/?z=60704a4626e41bb05a5234bg4z7m4tcodzat1e7gbe&from=clc&uid=HitachiXHTS545050B9A300_101227PBN403M7HD7W3EX&type=hp"
S3 atillk64; \??\C:\Program Files (x86)\AMD GPU Clock Tool\atillk64.sys [X]
S3 cpuz145; \??\C:\Windows\temp\cpuz145\cpuz145_x64.sys [X]
VirusTotal: C:\Users\Piotrek Królak\zKtyeTTYrY.exe
VirusTotal: C:\Users\Piotrek Królak\AppData\Roaming\uAeJAvEEy.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Piotrek Królak\AppData\Local\Mozilla
C:\Users\Piotrek Królak\AppData\Roaming\Mozilla
C:\Users\Piotrek Królak\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

2. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

Miło mi to słyszeć.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Tak, ale w Twoim przypadku nie widzę już żadnej infekcji. 
 

Prosiłbym, o ile to możliwe, aby temat zaczekał, a ja początku kwietnia wykonam skany, które mi poleciłeś.   Jeszcze raz dzięki za pomoc Miszel : )

 
Oczywiście. Skoro format i tak będzie wykonywany to skan Integralności można pominąć, sprawdź tylko dysk za pomocą CrystalDiskInfo.

Witaj genius95!

Uruchamiający się wiersz poleceń to efekt infekcji, niestety nie jestem w stanie powiedzieć konkretnie jakiej - zadałem w skrypcie analizę w serwisie VirusTotal. Podejrzewam, że to wariant koparki kryptowaluty. 

Oprócz oczywistej dezynfekcji odbędzie się tu również sprzątanie martwych wpisów, a także resztek po oprogramowaniu (m.in po przeglądarce Mozilla FireFox). 

Akcja: 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePont:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {C78E616A-8237-48E5-AF44-D75E053789C3} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
HKU\S-1-5-21-1536483902-100257688-3692752940-1001\...\MountPoints2: {90808e49-0a58-11e8-8d92-1cb72c2addb7} - "F:\HiSuiteDownLoader.exe"
VirusTotal: C:\Users\mkesk\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe
HKU\S-1-5-21-1536483902-100257688-3692752940-1001\...\Winlogon: [shell] C:\Windows\System32\cmd.exe [273920 2018-01-17] (Microsoft Corporation) 
HKU\S-1-5-21-1536483902-100257688-3692752940-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\mkesk\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\mkesk\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) 
C:\Users\mkesk\AppData\Roaming\Microsoft\SoundMixer
VirusTotal: C:\WINDOWS\System32\openssh\ssh-agent.exe
VirusTotal: C:\WINDOWS\System32\openssh\sshd.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\mkesk\AppData\Local\Mozilla
C:\Users\mkesk\AppData\Roaming\Mozilla
C:\Users\mkesk\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie brakującym Shortcut. Dołącz też plik fixlog.txt.

Zauważyłem że plik Host zawiera coś dziwnego, Jest tego sporo bo plik zajmuje 11KB.

Te wpisy wyglądają na blokadę koparek przeglądarkowych. W każdym razie taki sposób blokad nieporządanych Hostów jest na dzień dzisiejszy mało skuteczny i wydajny. Reset był całkowicie OK.

Infekcja typu adware z pewnością tu była, gdyż pod przeglądarki podpięte są skróty kierujące do szkodliwych obiektów. Aktualnie wyglądają na martwe. Przejdę do kasacji tych elementów, a przy okazji usunę resztki po oprogramowaniu / martwe wpisy i skróty (w tym kosz). 

Wymagane jest też odświeżenie wszystkich przeglądarek w celu wyeliminowania śladów / resztek infekcji i prześwietlenie głównych katalogów.

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
Task: {4E5B3C12-993D-4C4E-9A0D-7C0359D2FA7A} - System32\Tasks\{BDAA9AEF-55E1-47E8-B19D-5FCFA7455D93} => C:\Windows\system32\pcalua.exe -a H:\PC_Adapter_USB\Software\Setup\Setup.exe -d H:\PC_Adapter_USB\Software\Setup
C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Eхplоrer.lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Exрlorеr (No Аdd-ons).lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnet Ехрlоrеr Вrowser.lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Exрlоrеr.lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооgle Сhrоme.lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооgle Chrоme.lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеra.lnk
C:\Users\Maciek\AppData\Roaming\Browsers
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Ograniczenia 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => nie znaleziono
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SecureW2\Uninstall.lnk
C:\Users\Maciek\Desktop\SetFileDate.lnk
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Maciek\AppData\Local
CMD: dir /a C:\Users\Maciek\AppData\LocalLow
CMD: dir /a C:\Users\Maciek\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

2. Po wykonaniu skryptu zniknął niektóre skróty przeglądarek - odtwórz je (PPM na pulpicie > Nowy > Skrót > Wskaż element startowy przeglądarek). 

3. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

• Użyj kombinacji klawiszy ALT + P > z panelu bocznego wybierz zakładkę Przeglądarka > przejdź do Przywróć ustawienia początkowe przeglądarki... i zainicjuj operację. 

Usługi wyglądają OK.

Zagrożenia wykryte przez Malwarebytes daj do kasacji.

Czy wszystko jest już w na pewno porządku? 

Uruchomił się system, ale posypała się zapora systemu windows, centrum bezpieczeństwa. Wszystko naprawione.

mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona.
MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona.

To już było od początku, ale myślałem, że to domyślny twór ESET. 

Pokaż raport Farbar Service Scanner (FSS).

Wszystko naprawione. Po usuwaniu infekcji upload wzrósł do maxa. Instrukcja punktu 2 wykonana. Bez punktu 3.

Proszę wykonać pkt. 3 i pkt. 4.

Cześć,

niestety nie miałem czasu dzisiaj się temu przyjrzeć. Postaram się jak tylko będę mógł. 

Póki co możesz korzystać z komputera normalnie, ale rozumiem, że chcesz wykorzystać połączenie z proxy do czegoś innego. Jak mówię: znajdę więcej czasu to odpowiem, a może ktoś inny się podejmie szybciej. 

Załaczam wyniki FRST.

Całość pomyślnie wykonana. Wszystko wygląda już w porządku.

Zużycie zarówno procesora jak i pamięci wróciło do swoich starych parametrów.

Dziękuję Ci bardzo za pomoc.

Miło mi, że mogłem pomóc!

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Skomentuje jeszcze moją wypowiedź:

W systemie brak oznak infekcji (zadaje tylko drobną kosmetykę - w tym czyszczenie kosza), ale to wygląda na typ koparki przeglądarkowej, a więc zmian nie będzie widać w systemie, a w samej przeglądarce.

Sprawdziłem pierwsze raporty ponownie, wcześniej przeoczyłem to rozszerzenie:

FF Extension: (WebSecure) - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\yvsayoz2.default\Extensions\{f9f072c8-5357-11e7-bb4c-c37ea2335fb4}.xpi [2018-02-07]

Od kiedy zauważyłeś konkretnie te niepokojące objawy? Znasz to rozszerzenie? Ja nie mogę go zweryfikować i to wcale nie wróży dobrze, gdyż wygląda na nieoficjalne. 

Jakkolwiek, reset profilu zaaplikował kasację tego rozszerzenia i nie widzę, żebyś je ponownie zainstalował. To chyba była koparka.

Dałem napraw frst, po restarcie od 15 minut jest ciągle "Zapraszamy". Tak ma być?

Jak wygląda sytuacja teraz?

------

Zauważyłem, że zdublowałeś tematy - KLIK.

Czy skrypt był powtarzany? Nie widzę błędów w moim skrypcie (zresztą na tamtym forum pomocnik zadał skrypt bardzo podobny do mojego), być może to był efekt tymczasowy?

Jeszcze się skonsultuje.

W systemie brak oznak infekcji (zadaje tylko drobną kosmetykę - w tym czyszczenie kosza), ale to wygląda na typ koparki przeglądarkowej, a więc zmian nie będzie widać w systemie, a w samej przeglądarce.

Musisz po prostu wchodzić na jakaś stronę, która zawiera skrypt koparki (np. z Coinhive). 

Założymy nowy profil w przeglądarce Mozilla FireFox, a jeśli to nie pomoże to wymagana będzie jej kompleksowa reinstalacja. 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2788730441-2907322347-830627286-500\...\Policies\Explorer: [] 
HKU\S-1-5-21-2788730441-2907322347-830627286-500\...\MountPoints2: {d2038950-11b5-11e8-bdab-806e6f6e6963} - D:\start.exe
HKU\S-1-5-21-2788730441-2907322347-830627286-500\...\MountPoints2: {dcaf5a2f-b65b-11e7-870e-806e6f6e6963} - D:\cda_menu.exe
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
BHO: Browsing Protection by F-Secure -> {45BBE08D-81C5-4A67-AF20-B2A077C67747} -> C:\Program Files (x86)\F-Secure\SAFE\apps\Ultralight\nif\1515578179\browser\install\fs_ie_https\fs_ie_https64.dll => Brak pliku
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
FF HKLM\...\Firefox\Extensions: [ols@f-secure.com] - C:\Program Files (x86)\F-Secure\SAFE\apps\Ultralight\nif\1515578179\browser\install\fs_firefox_https\fs_firefox_https.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [ols@f-secure.com] - C:\Program Files (x86)\F-Secure\SAFE\apps\Ultralight\nif\1515578179\browser\install\fs_firefox_https\fs_firefox_https.xpi => nie znaleziono
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Kliknij klawisz  + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj (utracisz wszystkie dane z tej przeglądarki).

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik Fixlog.

Mateusz, właśnie miałem pokierować jak masz zmienić to ręcznie, ale wyprzedziłeś mnie dosłownie o minutę.

Widzisz, ja Ci jedynie pomagam - szukam usterki, z którą się zgłosiłeś. Przecież nie mają winą jest, że system Twój system nie działa poprawnie.

Jest mi po prostu przykro, jeśli ktoś uniesionym tonem zwala całą winę na mnie. Wystarczyło poczekać te 15 minut na spokojnie, jak widzisz zawsze jestem w stanie pokierować Cię jak wycofać trefną instrukcję. 

Póki co wróciliśmy do punktu wyjścia, ale wiem już trochę więcej na temat tych usług. Daj mi proszę czas do jutrzejszego popołudnia, żebym przyjrzał się bardziej temu zjawisku.

Mateusz, spokojnie. 

Zrobiłem to i żadnego problemu mi nie wykryło!!! --->https://appuals.com/...ror-0x80070026/ jak cofnąć wprowadzone przez Ciebie zmiany Miszel???

I wcale mnie to nie dziwi, przecież to instrukcja nie pod ten problem. 

Skrypt, który zadałem to:

Reg: reg add "HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc" /v Start /t REG_DWORD /d 2 /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc /s 
Reboot:

Pierwsza linijka: zmiana typu startu usługi WinHttpAutoProxySvc na automatyczny.

Druga linijka: listuje mi wygląd usługi WinHttpAutoProxySvc (brak żadnych zmian).

Trzecia linijka: uruchamia ponownie system. 

Nie przeszył więc inwazyjne zmiany. 

Nie wiem jaki stan był poprzednio, ale ustawię ponownie na Wyłączony (bo przypuszczalnie Automatyczny wywołuje jakiś konflikty). Zadaj w FRST następujący skrypt (przy okazji utworzę na wszelki wypadek nowy punkt przywracania): 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CreateRestorePoint:


Reg: reg add "HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc" /v Start /t REG_DWORD /d 4 /f

Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc /s 

Reboot:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Pomijamy ten raport. Wykonaj działania, które zaleciłem wyżej.

Dodatkowo po wykonaniu tych działań dostarcz nowy przefiltrowany raport SFC z opcji sfc /scannow.

Rozumiem, że możesz nie znać takich pojęć. Wytłumaczę łopatologicznie: format dysku = ponowna instalacja czystego systemu operacyjnego, na którym nie ma nic oprócz bonusów producenta / dodatków Microsoft. 

Warunek przy formatowaniu jest taki, że musisz posiadać płytę z systemem / obraz + klucz aktywacyjny. 

Pytasz co dalej. Nie wiem, bo to zależy od tego, czy widzisz jakieś szanse na usprawienie działania komputera Twoimi metodami?

System został wyczyszczony z drobnych infekcji adware, pozbyliśmy się również pozycji zbędnych programów / PUP.

Powiedz mi czy "wolne działanie systemu" to jedyny objaw? Pokaż log z CrystalDiskInfo.

Dodatkowo dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.

"C:\Windows\system32\msi.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd" = uszkodzony plik wymieniony na komunikacie. Na razie diagnostyka: 

Ponów SFC z tej samej opcji i dostarcz ponownie przefiltrowany raport. Dodatkowo dostarcz log FRST.

Nie jestem pewny niektórych wpisów w Harmonogramie zadań. Usunę je, a pliki docelowe dam do analizy w serwisie VirusTotal.
Oprócz tego: sprzątam system z resztek po oprogramowaniu. Zajmiemy się również nieaktualnymi danymi w Centrum Zabezpieczeń (Panda widnieje jako bieżący program, a zainstalowany jest ESET). 
 
Nie wiem jak to będzie miało się do połączenia - niewykluczone, że to ESET opóźnia upload. Temat po diagnostyce przeniosę do Sieci. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
ContextMenuHandlers1: [AcShellExtension.AcContextMenuHandler] -> [CC]{2E7A2C6C-B938-40a4-BA1C-C7EC982DC202} => -> Brak pliku
ContextMenuHandlers1: [ESET Smart Security - Context Menu Shell Extension] -> [CC]{B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> Brak pliku
ContextMenuHandlers6: [ESET Smart Security - Context Menu Shell Extension] -> [CC]{B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> Brak pliku
ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku
ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku
ContextMenuHandlers6: [unlockerShellExtension] -> [CC]{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} => -> Brak pliku
Task: {81467EC4-1201-4353-8B82-6C623B7442ED} - \DealPly -> Brak pliku Task: {B0F4DD0B-A539-4632-83E0-35F3E07A0375} - System32\Tasks\obrapquru => C:\Windows\system32\rundll32.exe "C:\Windows\system32\riched32Q.dll",Virps
Task: C:\Windows\Tasks\obrapquru.job => rundll32.exe C:\Windows\system32\riched32Q.dll
File: C:\Windows\system32\riched32Q.dll
VirusTotal: C:\Windows\system32\riched32Q.dll 
HKLM\...\Policies\Explorer\Run: [14810] => c:\progra~2\mslpli.exe
File: c:\progra~2\mslpli.exe
VirusTotal: c:\progra~2\mslpli.exe
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-2950158651-1325095086-3268382461-1003\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-2950158651-1325095086-3268382461-1003\...\Policies\Explorer: [HideSCAHealth] 1
SearchScopes: HKU\S-1-5-21-2950158651-1325095086-3268382461-1003 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKU\S-1-5-21-2950158651-1325095086-3268382461-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

• Kliknij klawisz  + R > Wpisz frazę services.msc > kliknij ENTER.
• Na liście usług odnajdź Instrumentacja zarządzania Windows > kliknij na nią > z panelu bocznego wstrzymaj jej działanie.
• Przejdź do lokalizacji C:\WINDOWS\system32\WBEM\Repository i skasuj jej zawartość.
• Ponownie przejdź do Instrumentacja zarządzania Windows i uruchom usługę.
• Uruchom ponownie komputer. 

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (wykryje komponenty KMSpico). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie brakującym Shortcut. Dołącz też plik Fixlog.

Zlecone działania poprawnie wykonane, ale uzupełnij raport, o który prosi wyżej Groszek. 

1. Komentując wyniki AdwCleaner:

     - większość detekcji dotyczy instalacji produktów IObit - to marka kontrowersyjna zamieszana w kradzież bazy danych MBAM i podejrzane powiązania reklamowe. Sugerowana deinstalacja przez Panel Sterownia.

     - poniżej lista detekcji nadających się do kasacji - to pozostałości adware / PUP:

PUP.Optional.Legacy, C:\Users\zajec\YTDownloader
PUP.Optional.Legacy, C:\Users\zajec\AppData\Roaming\Tencent
Adware.pokki, C:\Users\defaultuser0\AppData\Local\Host App Service
PUP.Optional.Legacy, [Value] - HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BROWSER_EMULATION | AndroidServer.exe
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\AppID\OverlayIcon.DLL
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\Interface\{7BCA6879-A9F8-47DE-AE05-F5CE7EA3A474}
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\TypeLib\{ADF1FA2A-6EAA-4A97-A55F-3C8B92843EF5}
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A38C15B2D5649AE4C9CDE19DE50DA96C
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\Installer\Features\A38C15B2D5649AE4C9CDE19DE50DA96C
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\Installer\Products\A38C15B2D5649AE4C9CDE19DE50DA96C

2. Sprawdzane usługi wyglądają w porządku, natomiast najnowsze dane z Dziennika systemu ujawniły konflikt usługi Pomoc IP:

Dziennik System:


=============

Error: (03/04/2018 11:44:40 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Usługa iphlpsvc zależy od usługi WinHttpAutoProxySvc, której nie można uruchomić z powodu następującego błędu:

Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

Nie sprawdzałem WinHttpAutoProxySvc - chyba po prostu przeoczyłem. 

Liczę na to, że ta usługa rzeczywiście jest po prostu wyłączona (choć msconfig nie wskazuje na to). 

> Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

Reg: reg add "HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc" /v Start /t REG_DWORD /d 2 /f


Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc /s 

Reboot:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

> Dostarcz plik Fixlog, sprawdź czy problem ustąpił.

Wszystko zostało pomyślnie wykonane. Malwarebytes wbrew moim oczekiwaniom nie odnalazł komponentów KMSpico, ale dzięki raportowi Shortcut odnalazłem skrót do deinstalatora. Poprawki (w tym kasacja klucze wykrytego przez Malwarebytes):
 
1. Uruchom deinstalacje cracka KMSpico - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\Uninstall KMSpico.lnk.
 
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CloseProcesses:
DeleteKey: HKU\S-1-5-21-3912383615-3260148415-1536492470-1001\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
C:\ProgramData\InstallShield\Update\isuspm.ini
C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe
C:\Users\Daga\Desktop\Pliki do zajęć\semestr IV\Zarządzanie produkcją i usługami\Solid Edge 2D Drafting.lnk
C:\Users\Daga\Desktop\Pliki do zajęć\semestr IV\ang\Cutting Edge Third Edition Intermediate DVD-ROM.lnk
C:\Users\Daga\Desktop\Pliki do zajęć\semestr III\Procesy i techniki produkcyjne\Działania Macierzowe.lnk 
C:\Users\Daga\Desktop\Pliki do zajęć\niepotrzebne semestr II\notatki inf\Free Pascal IDE.lnk
S3 dbx; system32\DRIVERS\dbx.sys [X]

Pewnie przyda mu się format, który był w planach, ale nie chciałem go formatować, nie mając pewności, że nie ma żadnej infekcji, bo format na wirusy nic nie pomoże?

No to namieszałeś, bo wszystkie te działania były bezsensu, skoro i tak zamierzasz sformatować dysk. 

Format dysku = wymagana będzie ponowna instalacja systemu, a więc czystego systemu bez żadnych modyfikacji zewnętrznych.

Co robimy dalej?

Brakuje raportu Shortcut - dostarczysz go w następnym poście. 

Od dzisiaj nie mogę wejść na żadną stronę internetową na laptopie. Po wykonaniu diagnostyki pojawia się komunikat: "Zdalne urządzenie lub zasób nie akceptuje połączenia"

W Harmonogramie zadań widoczne są wpisy PUP.Optional.PrxySvrRST. Przypuszczalnie to one doprowadziły do złej konfiguracji proxy (= brak dostępu do Internetu). Podobny temat: KLIK. 

Po za tym widać lewy aktywator KMSpico, ale nie można odinstalować go przez Panel Sterowania (brak wejścia deinstalatora). 

Skrypt obejmie wyzerowanie ustawień Proxy, a także kasacje w/w wpisów i resztek po oprogramowaniu (w tym systemowy kosz). Czyszczę również Dziennik Zdarzeń.  

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Task: {DC903D2F-56F4-4A5C-89B3-D0A85C4F7EA6} - System32\Tasks\Optimize Thumbnail Cache Files => wscript.exe //nologo //E:jscript //B "C:\ProgramData\InstallShield\Update\isuspm.ini" 
Task: {FB5E85EC-E708-42F4-A0B6-758E07DF3E66} - System32\Tasks\InstallShield® Update Service Scheduler => C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe [2017-10-07] (InstallShield®)
File: C:\ProgramData\InstallShield\Update\isuspm.ini
File: C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe
VirusTotal: C:\ProgramData\InstallShield\Update\isuspm.ini
VirusTotal: C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
RemoveProxy: 
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (wykryje komponenty KMSpico). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik Fixlog.