Miszel03

Dysk wygląda raczej w porządku. Szkoda, że nie ma plików zrzutu pamięci. Jeśli będę nadal występować bluescreeny to poszerzymy diagnostykę. Zalecam również skopiowanie najważniejszych danych na media przenośne (co i tak powinno być robione regularnie). W raportach widoczne są infekcje adware m.in mail.ru oraz szkodliwe zadania w Harmonogramie zadań, a także podejrzane rozszerzenia w przeglądarce Google Chrome. Oprócz dezynfekcji posprzątam również system z martwych skrótów / wpisów, szczątek po oprogramowaniu (m.in po przeglądarce Mozilla FireFox) itd. Portale z oprogramowaniem / Instalatory - na co uważać 1. Sugeruję odinstalować Ace Stream Media 3.1.16.1, gdyż to program ze zintegrowanym modułem adware preaktywowanym po pewnym czasie. Zainstalowane są również dwa oprogramowania zabezpieczające - Avast i Avira - wybierz jedno pakiet. Oba mogą powodować konflikty i dublowanie się akcji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers4: [XXX Groove GFS Context Menu Handler XXX] -> [CC]{6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku Task: {083DBD78-6142-4412-889A-5C2FF00931A8} - System32\Tasks\oudkhUIy => C:\Program Files (x86)\Common Files\oDilKaTEO.bat [2013-08-22] () Task: {686BFC1A-ACF6-4F7B-97D0-FB09235494D7} - System32\Tasks\SAAUauULUHEA => C:\Users\Tom\AppData\Roaming\EvuyXJiab.bat [2013-08-22] () Task: {43AD0FC1-8A67-4B75-9973-607FCA0C4158} - System32\Tasks\dzopercomjhar => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" dzoper.com/jhar C:\Program Files (x86)\Common Files\oDilKaTEO C:\Users\Tom\AppData\Roaming\EvuyXJiab C:\Users\Tom\VieKIdn.bat File: C:\Users\Tom\AppData\Local\eoAAiZW.exe File: C:\Program Files (x86)\yeIGOyz.exe C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\ff13ca23fee04978\Ewa - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 5" ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Tomasz - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VitoWP\Deinstalacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VitoWP\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VitoWP\VitoWP w internecie.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VitoWP\VitoWP.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast\SopCast web site.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rodos_LE 2010\Instrukcja instalacji.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rodos_LE 2010\Pierwsze kroki.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rodos_LE 2010\Rodos 2010 - edycja studencka.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightshot\Deinstalacja programu Lightshot.lnk C:\Users\Tom\Links\OneDrive.lnk C:\Users\Tom\Desktop\Menedżer Realtek HD Audio.lnk C:\Users\Tom\Desktop\Programy\Domekt.lnk C:\Users\Tom\Desktop\Programy\Malwarebytes.lnk C:\Users\Tom\Desktop\Programy\SopCast.lnk C:\Users\Tom\Desktop\Programy\UnHackMe.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mad Max.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MadMax.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pro Evolution Soccer 2017.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tropico 5 - Complete Collection.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SopCast\SopCast.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Domekt\Uninstall.lnk GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-3585312160-345975134-3153727662-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811141 SearchScopes: HKU\S-1-5-21-3585312160-345975134-3153727662-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B50A97ECF-19C2-403C-B8D8-053718DD94B3%7D&gp=811142 SearchScopes: HKU\S-1-5-21-3585312160-345975134-3153727662-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B50A97ECF-19C2-403C-B8D8-053718DD94B3%7D&gp=811142 CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dijfnbhlogmffhgpelodglnnkncadnbi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HomePage: Profile 4 -> inline.go.mail.ru CHR DefaultSearchURL: Profile 4 -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23 CHR DefaultSearchKeyword: Profile 4 -> inline.go.mail.ru CHR DefaultSuggestURL: Profile 4 -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms} S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Tom\AppData\Local\Mozilla C:\Users\Tom\AppData\Roaming\Mozilla C:\Users\Tom\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tom\AppData\Local CMD: dir /a C:\Users\Tom\AppData\LocalLow CMD: dir /a C:\Users\Tom\AppData\Roaming CMD: dir /a C:\Users Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome (dotyczy Profile 4): Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware / PUP: Mail.Ru, Домашняя страница Mail.Ru oraz wszystkie nieznane inne i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google (choć w skrypcie już to wykonałem, ale sprawdź czy rzeczywiście nic się tam nie znajduję). 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik Fixlog.

Chciałem zobaczyć usługę Harmonogramu, a klucz wziąłem z Dziennika zdarzeń Przepraszam, proszę zastosować następujący pobór: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule /s

To wygląda na błąd spowodowany wyłączeniem Dziennika zdarzeń, który jest nadrzędną zależnością do Harmonogramu. 1. Kliknij klawisz + R > wpisz frazę services.msc i kliknij ENTER > na liście usług odnajdź Dziennik zdarzeń systemu Windows > z prawokliku Właściwości > w sekcji Typ uruchomienia zmień na Automatyczny > kliknij Zastosuj i OK. Zrestartuj system i sprawdź efekty. 2. Jeśli powyższe zawiedzie lub Dziennik okaże się być włączony pokaż mi jak wygląda usługa Harmonogramu: Uruchom SystemLook. W białym oknie wklej poniższą treść: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog /s ...a następnie kliknij w Look. Momentalnie otrzymasz raport, który zaprezentujesz na forum.

Mimo wszystko poczekałbym na to co powie Groszek.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Przejdź do wykonywania następnych punktów.

Okej. Wszystko jasne. Fix zatrzymał się na przetwarzaniu pewnego katalogu, proszę powtórzyć pkt. 1, ale z wykorzystaniem następującego skryptu: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> DefaultScope {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = Filter: application/x-mfe-ipt - Brak wartości CLSID CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: RemoveDirectory: C:\Java

Pomimo błędu powinien zostać utworzony częściowy Fixlog. Przedstaw go.

Tak, wszystko idzie w odstawkę (niektóre temperatury są na poziomie krytycznym, a niestabilne sektory to zły znak). Priorytet ma zawsze Hardware. Tam też przenoszę temat. Poinformowałem moderatora Groszka, który zajmuję się tematyką sprzętową na forum.

Trionx, ale to przecież nie jest Twój temat! To jest Twój: Spadek wydajności po długoletnim użytkowaniu. Instrukcje są indywidualne i nie można ich powielać na innych systemach / w innych przypadkach.

Skoro było to nazwisko, to tak - w tym miejscu zmiana jest dopuszczalna. Urządzenie potencjalne zarażone, proszę nie podpinać jego do żadnego systemu, gdyż może dojść do infekcji kolejnych urządzeń. Wszelkie inne media mające kontakt z tym komputerem również mogą być potencjalnym nośnikiem tego ustrojstwa. Infekcja podszywająca się pod oprogramowanie Java, w auto-stracie jest wpis uruchamiający javaw.exe (co ciekawe, został utworzony właśnie ok. tydzień temu - tak jak piszesz) i wykonujący zadanie infekcji. Ponad to przeglądarka Mozilla FireFox jest w ciężkim stanie - podstawiony prefabrykowany profil, a poprawny uszkodzony. a w Harmonogramie zadań widoczne są szczątkowe zadania infekcji. System przejdzie dezynfekcje, a przy okazji posprzątam go z resztek po oprogramowaniu. Mediami przenośnymi zajmiemy się na końcu. 1. Sugerowane deinstacje: SpyHunter 4 - skaner wątpliwej reputacji, w przyszłości stosował bardzo podejrzane taktyki reklamowe i był na czarnej liście, Wszystkie produkty marki IObit ze względu na liczne kontrowersje (w tym kradzież bazy danych MBAM). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\ChromeHTML: -> ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {21882806-6B19-4DF9-9DC6-B6E00E6DBBD1} - System32\Tasks\javaw.exe => C:\Users\jakub\Documents\Java_Update.exe [2018-02-08] (Java Sun) Task: {6238C4D6-89DB-4657-B3F7-809CBBFD9E20} - \PowerWord-SCT-JT -> Brak pliku Task: {EF4DE754-43C4-49B5-9883-A2ADF2A8C3DF} - \Windows-WoShiBeiYongDe -> Brak pliku HKLM\...\Run: [] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\Run: [javaw.exe] => C:\Users\jakub\Documents\Java_Update.exe [109056 2018-02-08] (Java Sun) Startup: C:\Users\jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\javaw.exe [2018-02-08] (Java Sun) C:\Users\jakub\Documents\Java_Update.exe C:\Users\jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\javaw.exe Folder: C:\Java C:\Java HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> DefaultScope {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = Filter: application/x-mfe-ipt - Brak wartości CLSID U3 aswbdisk; Brak ImagePath CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Obecne profile przeglądarki Mozilla FireFox wyglądają na uszkodzone, a jeden został podstawiony przez adware. Wymagana jest kompleksowa ich wymiana. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W przedstawionych tu raportach brak oznak infekcji. Komentując detekcje MBAM: PUP.Optional.StartPage24, C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SRLKBD49.DEFAULT-1492714497846\EXTENSIONS\FFEXT_BASICVIDEOEXT@STARTPAGE24.XPI, Usunięcie-po-restarcie, [11382], [186354],1.0.3962 To rozszerzenie adware montowane w przeglądarce Mozilla FireFox. Malwarebytes zutylizowało je pomyślnie. PUP.Optional.Amazon1Button, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\Amazon1ButtonBrowserHelper.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\Amazon1ButtonRuntime.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKU\S-1-5-21-4273419673-1912282134-1578572012-1002\SOFTWARE\APPDATALOW\SOFTWARE\AMAZON\Amazon1ButtonApp, Dodano do kwarantanny, [831], [441167],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\CLASSES\WOW6432NODE\APPID\Amazon1ButtonBrowserHelper.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\CLASSES\WOW6432NODE\APPID\Amazon1ButtonRuntime.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\CLASSES\APPID\Amazon1ButtonBrowserHelper.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKU\S-1-5-18\SOFTWARE\APPDATALOW\SOFTWARE\AMAZON\Amazon1ButtonApp, Dodano do kwarantanny, [831], [441167],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\CLASSES\APPID\Amazon1ButtonRuntime.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\WOW6432NODE\APPDATALOW\SOFTWARE\AMAZON\Amazon1ButtonApp, Dodano do kwarantanny, [831], [441168],1.0.3962 Szczątki po Amazon1Buttton - czyli oprogramowaniu adware. Również pomyślnie zutylizowane. Sugeruję więc przeprowadzić kompleksową reinstaluje tej przeglądarki.

Ale na pewno była zaznaczona opcja Polityka IE i klik w OK?

Akcja wykonana pomyślnie. Infekcja usunięta. Skoro problem ustąpił to zadaję już finalizację. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Nie widzę więcej tych folderów. System wygląda w porządku. Jak mówiłem wcześniej: temat przenoszę do działu Sieci. Wygląda na to, że tak, ale powiedz jeszcze w jaki sposób zachodzi łączenie. Przez sieć WI-FI czy przez kabel?

Raporty nie wykazują oznak infekcji (zadaję drobną kosmetykę - sprzątanie resztek po oprogramowaniu), za to są jakieś podejrzane foldery w katalogach głównych - prześwietlę je, żeby zobaczyć czy nie ma ich więcej. Po tej diagnostyce temat przeniosę do działu Sieci. 1. Sugeruję odinstalować McAfee Security Scan Plus, gdyż wygląda na to, że został zainstalowany drogą sponsorską (po za tym masz zainstalowane rozwiązanie Avast). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin HKU\S-1-5-21-3895863922-2302880773-250945931-1000: @my.com/Games -> C:\Users\Przemek\AppData\Local\MyComGames\NPMyComDetector.dll [brak pliku] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] 2018-01-25 17:35 - 2018-01-25 17:35 - 000000000 ____D C:\Program Files (x86)\1vojwvvmkjs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team Meat\SuperMeatBoy\Super Meat Boy.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team Meat\SuperMeatBoy\Uninstall Super Meat Boy.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Might and Magic Heroes VII\Might and Magic Heroes VII.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Might and Magic Heroes VII\Uninstall Might and Magic Heroes VII.lnk C:\Users\Przemek\Desktop\Might and Magic Heroes VII.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Microsoft Visual C++ 2008 Redistributable x64.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Microsoft Visual C++ 2008 Redistributable x86 (32bit).lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Microsoft® DirectX for Windows®.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Play Over 14.000 Online Games on The Playing Bay.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Super Meat Boy.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Uninstall Super Meat Boy.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Uninstall.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Przemek\AppData\Local CMD: dir /a C:\Users\Przemek\AppData\LocalLow CMD: dir /a C:\Users\Przemek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przedstaw plik Fixlog.

To ma priorytet (choć w raportach widoczne są infekcje). 1. Dostarcz do analizy pliki zrzutu pamięci, w tym celu skopiuj na pulpit folder C:\Windows\Minidump, spakuj go (np. za pomocą WinRAR), a następnie wstaw na hosting plików (np. na MediaFire). 2. Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.

Kurczę, szkodliwa mapa domen usunęła się tylko częściowo. 1. Uruchom AdwCleaner, z paska ustawień wybierz Narzędzia, następnie Opcje i w sekcji Resetuj zaznacz Polityka IE. Przeprowadź skan, wszystkie detekcje poddaj kasacji. 2. Zrób jeszcze jeden log Addition w celu potwierdzenia pomyślności operacji.

"HKU\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" => nie znaleziono Hm...dla pewności poproszę jeszcze jednak o nowy raport Addition.

Cieszę się, że mogłem pomóc. Operacja pomyślnie wykonana. Poprawki i finalizacja: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Efficient Diary Pro\Efficient Diary Help.lnk DeleteKey: HKU\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Reboot: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Brakuje raportu Shortcut - dostarcz go w następnym poście, po wykonaniu instrukcji. W sekcji statu widoczny jest wpis uruchamiający stronę hxxp://adf.ly/pRzv6. Oprócz tego szkodliwe zmodyfikowana została mapa domen w przeglądarce IE, a także plik Hosts (ale niewykluczone, że to artefakty SpyBota). Dezynfekcja powinno pójść gładko. 1. Masz potwornie starą wersję oprogramowania zabezpieczającego - uaktualni ją. AV: ESET NOD32 Antivirus 9.0.407.0 (Enabled - Out of date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70} AS: ESET NOD32 Antivirus 9.0.407.0 (Enabled - Out of date) {577C8ED3-C22B-48D4-E5E0-298D0463E6CD} 2. Sugeruję odinstalować program Spybot - Search & Destroy, gdyż to przestarzały twór i w kwestii obecnych zagrożeń jest bezużyteczny. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\more.url -> URL: hxxp://adf.ly/pRzv6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\more.url Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-1667539775-1210465141-673175957-1000\...\Policies\Explorer: [DisableThumbnails] 0 HKU\S-1-5-21-1667539775-1210465141-673175957-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1667539775-1210465141-673175957-1000\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1667539775-1210465141-673175957-1000\...\Policies\Explorer: [NoWindowsUpdate] 1 BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre-9.0.4\bin\ssv.dll => Brak pliku S3 VGPU; System32\drivers\rdvgkmd.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt i napisz czy problem ustąpił.

Schemat zdecydowanie wygląda na Cerber w wersji pierwszej (V1). Zapomniałem, że limitacja tego dekodera jest następująca: Oznacza to, że dekoder zadziała tylko na zainfekowanej maszynie, gdyż wymagane są ku temu dane, ale: ...jeśli spełniasz w/w normy techniczne to niewykluczone, że jeśli pozwolisz narzędziu działać kilka godzin (ok. 4h) to być może deszyfracja się powiedzie.

Tak, to wszystko. Miło mi, że mogłem pomóc.

Podobny temat sprzed dwóch dni z taką samą infekcją: Avast blokuje cały czas zagrożenie URL:Mal. Sprawy mają się tutaj podobnie. Dezynfekcja (+ kasacja martwych wpisów / szczątek po oprogramowaniu w tym po przeglądarce Mozilla FireFox): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe Startup: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk [2018-02-14] ShortcutTarget: JDSound.lnk -> C:\Users\Marta\AppData\Roaming\appmr\JDSound.vbs () 2018-02-14 02:37 - 2018-02-15 18:29 - 000000000 ____D C:\Users\Marta\AppData\Roaming\vbhost 2018-02-14 02:37 - 2018-02-14 02:37 - 000000000 ____D C:\Users\Marta\AppData\Roaming\appmr DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Marta\AppData\Local\Mozilla C:\Users\Marta\AppData\Roaming\Mozilla C:\Users\Marta\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt i napisz czy problem ustąpił.

Posty łączę, proszę używać opcji Edytuj dostępnej przy każdym Twoim poście. W porządku. Wszystko pomyślnie wykonane. Infekcja usunięta. Obecne raporty wyglądają już w porządku, a skoro sygnalizujesz, że problem ustąpił to będziemy kończyć. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.