Miszel03

Poprawiłem cały temat, proszę stosować się do reguł pisowni języka polskiego. Dysk wygląda w porządku (ale jeszcze moderator Hardware rzuci na to okiem), a raporty nie wykazują oznak infekcji. Temat przenoszę do działu Windows 10. Po jakich działaniach przestał się uruchamiać? To niemożliwe i wygląda na to, że tutaj nigdy nie było infekcji, a wszystkie objawy można wytłumaczyć w inny sposób. C:\Documents and Settings to lokalizacja danych starych wersji Windows. Właściwe dane od Vista w górę znajdują się w C:\Users. Odmowa dostępu (brak dostępność) podczas próby dostania się do lokalizacji C:\Documents and Settings jest normalna. Pokaż jakie to były ukryte pliki - to mogą być komponenty Windows. A opis strzałki nic mi nie mówi - pokaż na screenie jak ona wygląda konkretnie. Wykonaj skanowanie Integralności Windows z opcji sfc /scannow i dostarcz przefiltrowany raport.

Wszystko pomyślnie wykonane. Wygląda to już w porządku, a skoro problem ustąpił to kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Dobrze to słyszeć, ale nie widzę loga FRST.

Raporty nie wykazują oznak infekcji, posprzątam tylko resztki po programach i adware / PUP. Temat przenoszę do działu Windows 10, gdzie będzie prowadzona dalsza pomoc.

Podam instrukcję dezynfekcyjne, obsługa FRST przeznaczona jest tylko dla osób znających platformy Microsoft i złośliwe oprogramowanie. Na przyszłość: wymagamy dostarczenia z takich działań raportów. Widoczne są infekcje adware, które odpowiedzialne są za Twój problem. Fałszywa, podstawiona przeglądarka pod Google Chrome, a także szkodliwe zadania w Harmonogramie zadań i wiele, wiele więcej. Droga infekcji to przypuszczalne widoczne Asystenty pobierania z serwisów typu DobreProgramy - Portale z oprogramowaniem / Instalatory - na co uważać. Przy okazji sprzątam resztki po programach - m.in po przeglądarce Mozilla Firefox. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\pacu277\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileCoAuthLib64.dll => No File CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\pacu277\AppData\Local\Microsoft\OneDrive\17.3.7294.0108\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\pacu277\AppData\Local\Microsoft\OneDrive\17.3.7294.0108\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\pacu277\AppData\Local\Microsoft\OneDrive\17.3.7294.0108\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => No File CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{D45F043D-F17F-4e8a-8435-70971D9FA46D}\InprocServer32 -> C:\Program Files\Blender Foundation\Blender\BlendThumb64.dll => No File ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Users\pacu277\Desktop\rarext64.dll -> No File ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Users\pacu277\Desktop\rarext.dll -> No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Users\pacu277\Desktop\rarext64.dll -> No File ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Users\pacu277\Desktop\rarext.dll -> No File Task: {5A5089C0-ACFB-4CB6-B862-940D9CBEE543} - \Download Follow -> No File Task: {D72CA868-475C-4BA9-B17F-62040DDB82F9} - \Download Follow2 -> No File Task: {2BF296FA-4B77-434F-BE0C-B93C439759F9} - System32\Tasks\Tamrorom => C:\PROGRA~1\GROOVE~1\Verdi.bat Task: {6429DB4D-9ADB-4A23-ABA7-356400F3DCAC} - System32\Tasks\{170FEF9C-1780-C982-1575-4B21D1610D67} => C:\Users\pacu277\AppData\Roaming\{170FE~1\PRICEF~1.EXE Task: C:\Windows\Tasks\{170FEF9C-1780-C982-1575-4B21D1610D67}.job => C:\Users\pacu277\AppData\Roaming\{170FE~1\PRICEF~1.EXE C:\PROGRA~1\GROOVE~1\Verdi.bat HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction HKLM\...\StartupApproved\Run32: => " QQPCTray" HKU\S-1-5-21-3103984185-2862161799-3952195725-1001\...\StartupApproved\Run: => "ycAutoLaunch_FDBEA5EB2F1929B64A5D2BF057878A3A" HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCTray.exe" /regrun HKU\S-1-5-21-3103984185-2862161799-3952195725-1001\...\Run: [Microsoft Security x64] => C:\Users\pacu277\AppData\Local\Temp\mssecurity.vbs HKU\S-1-5-21-3103984185-2862161799-3952195725-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\pacu277\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\pacu277\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) C:\Users\pacu277\AppData\Roaming\Microsoft\SoundMixer CHR HKLM\SOFTWARE\Policies\Google: Restriction SearchScopes: HKLM -> DefaultScope value is missing SearchScopes: HKLM-x32 -> DefaultScope value is missing HKU\S-1-5-21-3103984185-2862161799-3952195725-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Fanlook\Application\chrome.exe C:\Program Files (x86)\Fanlook C:\Users\pacu277\AppData\Local\Fanlook C:\Users\pacu277\AppData\Roaming\Fanlook DeleteKey: HKCU\Software\Fanlook DeleteKey: HKLM\SOFTWARE\WOW6432Node\Fanlook BHO-x32: No Name -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File S2 ed2kidle; "C:\Program Files (x86)\amuleC\ed2k.exe" -downloadwhenidle [X] S2 MDM; "C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe" [X] S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S3 ALSysIO; \??\C:\Users\pacu277\AppData\Local\Temp\ALSysIO64.sys [X] S3 cpuz137; \??\C:\Program Files (x86)\CPUID\PC Wizard 2013\pcwiz_x64.sys [X] S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X] S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X] S2 npf; \??\C:\Windows\system32\drivers\npf.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] 2018-02-02 16:34 - 2018-02-02 16:34 - 001671059 _____ (Kahiloli ) C:\Users\pacu277\Desktop\Safari-13196-AsystentPobierania_2395038394.exe 2018-02-02 15:45 - 2018-02-02 16:46 - 000000046 _____ C:\Users\Public\Documents\temp.dat 2017-01-28 15:55 - 2017-01-28 15:55 - 000000000 _____ () C:\Program Files (x86)\metadata 2017-01-28 15:55 - 2017-04-05 18:47 - 000000040 _____ () C:\Program Files (x86)\settings.dat 2018-02-01 14:48 - 2018-02-01 14:48 - 000000000 ____D C:\Users\pacu277\AppData\Roaming\curl 2018-02-01 14:47 - 2018-02-01 18:32 - 000000000 ____D C:\Users\pacu277\AppData\Local\yc 2018-02-01 14:44 - 2018-02-01 18:22 - 000000000 ____D C:\Users\pacu277\AppData\Local\etdctrl 2018-02-01 14:41 - 2018-02-01 18:20 - 000000000 ____D C:\Program Files (x86)\AucazWsZjAUn 2018-02-01 14:41 - 2018-02-01 18:18 - 000000000 ____D C:\Program Files (x86)\AMLyRCNlUIE DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\pacu277\AppData\Local\Mozilla C:\Users\pacu277\AppData\Roaming\Mozilla C:\Users\pacu277\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\pacu277\AppData\Local CMD: dir /a C:\Users\pacu277\AppData\LocalLow CMD: dir /a C:\Users\pacu277\AppData\Roaming CMD: netsh advfirewall reset RemoveProxy: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw ponownie przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. 3. Uruchom przeglądarkę Opera, a następnie używając kombinacji CTRL + SHIFT + E sprawdź czy rozpoznajesz rozszerzenie ae - wydaję mi się ono podejrzane (jeśli nie znasz go to odinstaluj). 4. Całościowo i ponownie przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). cupduck;firefox 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Na koniec zastosuj DelFix w celu usunięcia FRST.

I tak i nie, ale to wygląda na reklamy infekcyjne (skoro są pola, a nie zwykłe strony). Pewnie siedzi coś w przeglądarce. Nie widzę tutaj nic, co mogłoby wyświetlać takie reklamy, brak oznak infekcji. Wyczyścimy przeglądarki i posprzątamy system ze szczątek po programach - zobaczymy, może to przeniesie jakiś efekt. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {2613FB0D-8AEF-4AB3-89F4-D68FD748B1D6} - \COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} -> Brak pliku Task: {357A0650-4CA8-4262-A7EA-0C9E81345633} - \COMODO\COMODO Welcome {CEB54B45-2B5E-4FF5-9223-6735CD80FE69} -> Brak pliku Task: {288359EC-0E11-4821-9C1F-F8FC9F72564B} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {72A4AA77-AAAE-4D34-96E0-A828247F143D} - \{31DDBD37-5DB7-4030-8064-10B0CAA806C3} -> Brak pliku Task: {9E8FE5FB-AB27-4240-B010-7E77A831B1CC} - \Lenovo\Lenovo Service Bridge\S-1-5-21-2037929268-2886463796-1720830916-1001 -> Brak pliku Task: {DC2E6710-3E89-4DF6-94F3-8628FF926479} - \WPD\SqmUpload_S-1-5-21-2037929268-2886463796-1720830916-1001 -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152] HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe GroupPolicy: Ograniczenia S2 0171661514390970mcinstcleanup; C:\Users\Janusz\AppData\Local\Temp\017166~1.EXE -cleanup -nolog [X] SearchScopes: HKU\S-1-5-21-2037929268-2886463796-1720830916-1001 -> {094C5F46-A633-49ED-9CDF-863FAE2F36AE} URL = C:\Users\Janusz\Documents\BEATA\indeks\rBiblia.lnk C:\Users\Janusz\Desktop\śmietnik\Downloads\rBiblia.lnk C:\Users\Janusz\Desktop\śmietnik\Nowy folder\DPS VPN — skrót.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

PUP.Optional.InstallCore to najczęściej asystent pobierania ze zintegrowanym adware, zaś detekcje podejrzanego ByteFence powinna być skorygowana w postaci deinstalacji z poziomu Panelu Sterowania, ale już trudno... W raportach brak oznak infekcji, ale z poziomu ustawienia NameServer (adresy DNS pobierane spod Windows, a nie z routera!), które co prawda nie są adresami bieżącymi widoczne są podejrzane DNS - są zarejestrowane w Wielkiej Brytanii (KLIK / KLIK). Sprawdziłem adres IP, z którego logujesz się na forum i on jest polski, więc raczej niemożliwe jest by domyślnym ustawieniem był taki adres (nie widzę też programów, które mogłyby to zmieniać celowo). Skasuje te wartości i zresetuje bufor nazw DNS (oprócz tego czyszczenie martwych wpisów, szczątek po Mozilla FireFox i zanieczyszczonego przez adware pliku Hosts). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe Tcpip\..\Interfaces\{5dafd5e2-8513-41dc-8378-b8c5f23cabb7}: [NameServer] 185.74.47.1,185.74.47.2 Tcpip\..\Interfaces\{6cb9fc0d-3c9f-4809-9bed-a3e0831fc3a3}: [NameServer] 185.74.47.1,185.74.47.2 Tcpip\..\Interfaces\{70a74bdc-8e9f-451f-98f8-56998e68a78a}: [NameServer] 185.74.47.1,185.74.47.2 Tcpip\..\Interfaces\{8aa02326-f6f6-4583-b416-c2834ae35849}: [NameServer] 185.74.47.1,185.74.47.2 SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1009 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1009 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1010 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1010 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {03B41348-2613-4535-8A0F-3A1092C6C203} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {08EFB420-9AC5-456A-B748-35A1213B0C80} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {319F077C-4119-45A8-B3FD-EA661FADB853} - \WPD\SqmUpload_S-1-5-21-2599955190-633891189-1023220953-1009 -> Brak pliku Task: {3A78890E-DF23-45F8-90EB-8D7BB27D8426} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4B4829AB-0433-416D-ACC0-B13ADA67637E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {6655EABC-B763-4BBB-BDD1-7EE97F4D9A7E} - \WPD\SqmUpload_S-1-5-21-2599955190-633891189-1023220953-1001 -> Brak pliku Task: {6BBD466D-DB9B-489B-A5E0-40B89CB6B790} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {6F7D60BA-9B63-479F-A57F-DC5C05C41511} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {96C28A8F-DA12-47AF-A6AF-199FB6FD7FF0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {97EE6415-5996-4928-A95B-B0D1C49089EC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {9860CBC0-9DB1-414F-81DE-5E52EEAC9126} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B710B8D5-53B1-4AB6-A052-D4A21A34BA2B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {D633DE30-1034-4230-9F6C-BD28ACEF0E3A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D6C66D61-9F11-4BE8-9DFB-B3503EC74AD3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {E96DD143-3359-426A-8EC9-A89BFDB7ADF5} - \WPD\SqmUpload_S-1-5-21-2599955190-633891189-1023220953-1010 -> Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Piotr\AppData\Local\Mozilla C:\Users\Piotr\AppData\Roaming\Mozilla C:\Users\Piotr\AppData\Roaming\Profiles CMD: ipconfig /flushdns Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Owszem, to wiadomość spamowa, widziana na portalu Facebook coraz częściej, ale nie do końca znany jest jej mechanizm działania. W każdym razie raporty nie wykazują oznak infekcji, a drobną kosmetykę systemową pomijam (martwe wpisy / skróty etc.), bo jest ona nieistotna. 1. Wyczyść i zabezpiecz konto Facebook. Kliknij ikonkę Opcji obok Szybkiej pomocy i wybierz Ustawienia: Przejdź do zakładki Bezpieczeństwo i logowanie > Lokalizacja zalogowania > Wyloguj się ze wszystkich sesji oprócz bieżącej, W zakładce Aplikacje usuń wszystkie niepewne aplikacje, Przejdź do Dziennika aktywności (ikona Opcji) przejrzyj wszystkie zakładki i skasuj treści, które nie były publikowane przez Ciebie (o ile są), Ponownie zmień hasło logowania do konta oraz adresu mail, na który to konto jest zarejestrowane. 2. Wykonaj kompleks aktualizacji oprogramowania zewnętrznego i systemu, a także zainstaluj oprogramowanie zabezpieczające - KLIK / KLIK.

Pisałeś, że jest "świadomym użytkownikiem" i wiesz jak zadbać o bezpieczeństwo, ale najwidoczniej mylisz pojęcia. Obyś tylko nie obudził się za późno z aktualizacjami, jak Twój system będzie w stanie agonalnym - a na prawdę wystarczy jedna infekcja, która pociągnie za sobą całą masę. Zamykam.

To był wycinek alertu z logu.. FSS nie wykazuję uszczerbków na usłudze, więc uznaję ją za nieuszkodzoną. Na PW napisałeś, że wszystko jest OK, więc uznaję, że mogę przejść do finalizacji tematu. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Wygląda na to, że wszystko usunąłem za pierwszym razem i jest już w porządku. Jak podsumowujesz obecną sytuację, możemy kończyć?

Na przyszłość: bardzo proszę o dostarczenie raportów z takich działań, gdyż daje nam to dodatkowe dane o ulokowaniu i typie infekcji. Jeszcze widać szczątki po infekcjach adware / PUP, m.in są to foldery w katalogach głównych (które muszę jeszcze dodatkowo w całości prześwietlić) czy też zmodyfikowany plik Hosts. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [sERVICE] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia - Windows Defender S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] 2018-01-04 21:56 - 2018-01-17 21:27 - 000000000 ____D C:\Windat 2018-01-04 21:56 - 2018-01-17 21:27 - 000000000 ____D C:\Disk 2018-01-04 21:54 - 2018-01-05 18:11 - 000000000 ____D C:\Applications 2018-01-04 21:54 - 2018-01-05 18:11 - 000000000 ____D C:\WinSys 2018-01-04 22:00 - 2018-01-05 18:49 - 000000000 ____D C:\Users\Robert\AppData\Roaming\grsxji1mliq 2018-01-04 21:59 - 2018-01-04 22:00 - 000000000 ____D C:\Users\Robert\AppData\LocalLow\gitoYRAqqleEF 2018-01-04 21:56 - 2018-01-05 18:12 - 000000000 ____D C:\Program Files (x86)\Multitimer 2018-01-04 21:56 - 2018-01-05 15:57 - 000000000 ____D C:\Users\Robert\AppData\Roaming\jwrdoceql3j 2018-01-04 15:27 - 2018-01-04 15:27 - 000000000 ____D C:\9a03270b0e79004a3376ee 2018-01-04 00:13 - 2018-01-04 00:13 - 000000000 ____D C:\116f233ac62cb0a226cf 2018-01-03 23:54 - 2018-01-03 23:54 - 000000000 ____D C:\c167bbbe3528f8f79b8c 2018-01-03 23:32 - 2018-01-03 23:32 - 000000000 ____D C:\d3cd7d3078b0229bc9a78681 2018-01-04 21:59 - 2018-01-04 21:59 - 000001658 _____ () C:\Users\Robert\AppData\Roaming\BNPDKW5.exe.config 2018-01-04 21:56 - 2018-01-04 21:56 - 000001810 _____ () C:\Users\Robert\AppData\Roaming\IEPR9SQ.exe.config 2018-01-04 21:56 - 2018-01-04 21:56 - 000001810 _____ () C:\Users\Robert\AppData\Roaming\NIAWR3D.exe.config 2018-01-04 21:55 - 2018-01-04 21:55 - 000140800 _____ () C:\Users\Robert\AppData\Local\installer.dat CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Robert\AppData\Local CMD: dir /a C:\Users\Robert\AppData\LocalLow CMD: dir /a C:\Users\Robert\AppData\Roaming CMD: dir /a C:\ Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp:' Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Takie detekcje najczęściej dotyczą oprogramowania ze zintegrowanym adware / PUP (możliwość spowolnienia systemu / wyświetlanie reklam). Spybot Search & Destroy to program mocno przestarzały i nieskuteczny względem nowych zagrożeń. Sugerowana deinstalacja. Błąd mógł dotyczyć jego Zmiennej środowiskowej, z której korzysta ale mogło to być po prostu również uszkodzenie instalacji. Sugeruję raz jeszcze rozważyć zainstalowanie oprogramowania zabezpieczającego. Raporty nie wykazują oznak infekcji (co potwierdzają wyniki skanerów antywirusowych, których używałeś), w spoilerze zadaję działania poboczne do wykonania - czyszczenie martwych wpisów / skrótów / resztek po wcześniej odinstalowanym oprogramowaniu / pliku Hosts ze względu na jego niedomyślną i zawaloną zawartość. Sprawdź usługę "winmgmt" lub napraw WMI. Dostarcz log z Farbar Service Scannner (FSS). Raporty nie wykazują oznak infekcji, w spoilerze zadaję działania poboczne do wykonania - czyszczenie martwych wpisów / skrótów / resztek po wcześniej odinstalowanym oprogramowaniu / pliku Hosts ze względu na jego niedomyślną i zawaloną zawartość.

Po za przeglądarką Google Chrome w systemie brak widocznej infekcji. Odbędzie się: kasacja adware z przeglądarki / czyszczenie martwych wpisów, skrótów i pliku Hosts (widoczna nieaktywna strona) / szczątek po oprogramowaniu - m.in po przeglądarce Mozilla FireFox. Na przyszłość: widzę, że był używany SpyHunter, a to program o wątpliwej reputacji - decyzja należy do Ciebie czy będziesz go w przyszłości używał. Portale z oprogramowaniem / Instalatory - na co uważać 1. Widoczne są dwa oprogramowania zabezpieczające: AV: Microsoft Security Essentials (Enabled - Up to date) {71A27EC9-3DA6-45FC-60A7-004F623C6189} AV: Symantec Endpoint Protection (Disabled - Up to date) {63DF5164-9100-186D-2187-8DC619EFD8BF} To nie jest poprawna konfiguracja zabezpieczenia systemu, gdyż programy te mogą wzajemnie dublować swoje działania. Proszę odinstalować jedno z nich. Sugeruję pozostać przy rozwiązaniu Symantec. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers1-x32: [CuteShellExt] -> {A09315EC-39D3-4ED3-B6A1-262DDC54A3C5} => -> Brak pliku ContextMenuHandlers2: [CuteShellExt] -> {A09315EC-39D3-4ED3-B6A1-262DDC54A3C5} => -> Brak pliku ContextMenuHandlers4-x32: [CuteShellExt] -> {A09315EC-39D3-4ED3-B6A1-262DDC54A3C5} => -> Brak pliku HKU\S-1-5-21-851820673-2645049037-25093145-1000\Software\Classes\regfile: regedit.exe "%1" Winlogon\Notify\SEP-x32: C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin\WinLogoutNotifier.dll [X] ShortcutTarget: CodecPackUpdateChecker.lnk -> C:\Windows\SysWOW64\C2MP\UpdateChecker.exe (Brak pliku) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku CHR HomePage: Default -> hxxp://www.mysites123.com/?type=hp&ts=1451771130&z=568d90e4679cb0afb5e3cd4g0z9w3g7m5m8gcg8c7e&from=amt&uid=toshibaxmk3252gsx_z81dcbuktxxz81dcbukt CHR HKLM-x32\...\Chrome\Extension: [clgckgfbhciacomhlchmgdnplmdiadbj] - hxxps://clients2.google.com/service/update2/crx S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 vpnva; system32\DRIVERS\vpnva64.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cole2k Media - Codec Pack\Codec Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cole2k Media - Codec Pack\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cole2k Media - Codec Pack\Helpful Resources\How to play unusual files.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\ALLPlayer Skin Creator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\Strona WWW programu ALLPlayer V5.X.lnk C:\Users\Lukasz\Start Menu\Programs\SpyHunter\SpyHunter.lnk C:\Users\Lukasz\Start Menu\Programs\SpyHunter\Uninstall.lnk C:\Users\Lukasz\Links\Azymuty_20511.zip.lnk C:\Users\Lukasz\Documents\BTS Site Manager Data\R2012 — skrót.lnk C:\Users\Lukasz\Documents\BTS Site Manager Data\R2013 — skrót.lnk C:\Users\Lukasz\Documents\BTS Site Manager Data\R2014 — skrót.lnk C:\Users\Lukasz\Documents\BTS Site Manager Data\R2015_Katowice — skrót.lnk C:\Users\Lukasz\Documents\BTS Site Manager Data\R2015_Warszawa — skrót.lnk C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer.lnk C:\Users\Lukasz\AppData\Local\Microsoft\Windows\GameExplorer\{D0C46732-8F3F-40C2-B906-B594634EEB21}\PlayTasks\0\Zagraj.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Lukasz\AppData\Local\Mozilla C:\Users\Lukasz\AppData\Roaming\Mozilla C:\Users\Lukasz\AppData\Roaming\Profiles Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (jedno widoczne tylko z poziomu rejestru usunąłem w skrypcie - adware). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google (widoczny dostawca adware usunięty został już w skrypcie - sprawdź na pewno jest tam tylko Google). 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Akcja pomyślnie wykonana. Cieszę się, że moja pomoc okazała się skuteczna. Skoro problem ustąpił to przechodzimy do finalizacji - zastosuj DelFix w celu usunięcia narzędzi używanych w trakcie pomocy.

Wg Farbar Service Scanner nie ma uszczerbku usługi Windows Update. Dostarcz zestaw raportów FRST w celu wykluczenia infekcji. Wykonaj reset komponentów Windows Update najpierw z opcji domyślnej, a gdy ta nie przyniesie rezultatów skorzystaj z opcji agresywnej (wyzerowanie katalogów SoftwareDistribution oraz catroot2). Gdyby były problemy z narzędziem proszę wykonać reset ręcznie (cała procedura opisana jest w naszym podlinkowanym wyżej tutorialu).

Temat przenoszę do działu Software (ten dział dotyczy połączenia z Siecią, a nie przeglądarek). Proszę uruchomić przeglądarkę Google Chrome, a następnie wejść do opcji Dostosowywanie i kontrolowanie (obok listy aktywnych rozszerzeń) > najechać na zakładkę Historia i w sekcji Ostatnio zamknięte będą widoczne te karty. Jeśli nie znajdują już się tam te karty (bo wyszukiwałeś już inne strony), o które chodzi to proszę poszukać w Historii na podstawie daty i godziny, w której przeglądałaś te karty.

Bardzo mi miło, że mogłem pomóc. Akcja pomyślnie wykonana, temat uważam za zakończony.

Raporty nie wykazują oznak infekcji, w spoilerze zadaję działania poboczne do wykonania (kosmetyka systemowa / usuwanie komponentów Yahoo!). FRST użyty został w wersji angielskiej, a na Twoim routerze adresy DNS zarejestrowane są na Wielką Brytanie, zakładam więc, że mieszkasz tam (a nie, że to infekcja). Temat przenoszę do działu Software. Problem wygląda na dotyczący stricte przeglądarki Mozilla FireFox. Z raportów wynika, że zainstalowane są dwie wersje: Mozilla Firefox 49.0.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 49.0.1 (x86 pl)) (Version: 49.0.1 - Mozilla) Mozilla Firefox 57.0.4 (x64 pl) (HKU\S-1-5-21-1572406964-1192249908-263256314-1000\...\Mozilla Firefox 57.0.4 (x64 pl)) (Version: 57.0.4 - Mozilla) pierwsza to wersja 32-bitowa, a druga to 64-bitowa. Obie wersje przeterminowane, proszę więc zaktualizować 64-bitową instalacje, a 32-bitową odinstalować, bo nie wydaję mi się, by była ona potrzebna.

Spokojnie, ale nadmienię tylko, że przeglądarka internetowa samodzielnie sprawdzą pisownie i podkreśla błąd (już nawet z PPM można wybrać sugerowany poprawny wyraz). Skasowanie folderu C:\FRST nie ma nic do rzeczy (i nic wielkiego się nie stało, bo z FRST raczej nie będziemy już korzystać), bo raport dotyczy Malwarebytes - wróć do mojego poprzedniego postu.

Zakładając, że hasła wyglądało w podobny sposób do tego np. fGVhsdegKN to przy porządnej maszynie i dobrych wiatrach w miesiąc zostałoby przypuszczalnie złamane. Niestety, metoda typu BF to loteria i nie można przewidzieć konkretnie wymagane czasu.

Wszystko pomyślnie wykonane, infekcja usunięta. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji (to resztki po Plumbytes, który zdecydowałaś się odinstalować i adware / PUP). 2. Piszesz, że już wszystko OK, więc kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Podobna infekcja co w Twoim poprzednim wątku. Sprzątanie resztek też będzie podobne, bo tu również po Mozilla FireFox. 1. Program Plumbytes Anti-Malware 2018 jest wątpliwej reputacji (po za tym masz już zainstalowany pakiet Avira). Sugeruję deinstalacje. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {35193193-E150-4D08-83C9-966637833F58} - System32\Tasks\Dell => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Dell /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" Task: {6CF6F5F5-13F6-43AC-AA51-494325D76855} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\WINDOWS\TEMP\DeleteFolderTask.exe HKU\S-1-5-21-728262906-286402461-1700297826-1001\...\Run: [Dell] => explorer.exe hxxp://ozirizsoos.info SearchScopes: HKU\S-1-5-21-728262906-286402461-1700297826-1001 -> DefaultScope {EE17508D-93D7-49AE-BD31-CCDBE2133627} URL = SearchScopes: HKU\S-1-5-21-728262906-286402461-1700297826-1001 -> {EE17508D-93D7-49AE-BD31-CCDBE2133627} URL = DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Dell\AppData\Local\Mozilla C:\Users\Dell\AppData\Roaming\Mozilla C:\Users\Dell\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.