Miszel03

System Restore: ============ VSS Service is not running. Checking service configuration: The start type of VSS service is set to Disabled. The default start type is 3. The ImagePath of VSS service is OK. Usługa, o której wcześniej wspominałem nie jest uszkodzona, a tylko wyłączona. Gdybyś jej potrzebował to po prostu ją włącz. Wszystko pomyślnie wykonane, infekcja usunięta. Detekcje AdwCleaner możesz dać do kasacji. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe] - hxxps://clients2.google.com/service/update2/crx Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go. 2. Napisz jak podsumowujesz obecną sytuację, czy omawiany problem ustąpił?

W takim razie temat uważam za zakończony. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Widzę, że temat zgłoszony jako aktualny, więc odpowiadam (byłem na urlopie). Skrót uruchamiający przeglądarkę Google Chrome został zmodyfikowany przez adware podstawiając argument uruchamiający stronę hi.ru. Oprócz tego widoczne jest podejrzane zadanie w Harmonogramie zadań. Powinniśmy szybko się z tym uporać. Zajmę się również usuwaniem szczątek po wcześniej odinstalowanym oprogramowaniu (m.in po przeglądarce Mozilla FireFox). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {234781B8-1E2E-4388-BEA8-84ECF0375483} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {7433A65F-53C5-4B10-AAEE-721DF7C2BA19} - System32\Tasks\{E0D8B42D-99BE-4277-BA5D-7903BED2267C} => C:\Windows\system32\pcalua.exe -a C:\Users\Dariusz\AppData\Local\Temp\7zO46FF04A7\setup.exe -d C:\Users\Dariusz\AppData\Local\Temp\7zO46FF04A7\ ShortcutWithArgument: C:\Users\Dariusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hi.ru/?md81 HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe C:\Users\Dariusz\Documents\Euro Truck Simulator 2\readme.rtf.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Dariusz\AppData\Local\Mozilla C:\Users\Dariusz\AppData\Roaming\Mozilla C:\Users\Dariusz\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner z opcji Skanuj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 3. Dostarcz raport z Farbar Service Scanner (FSS) (widoczny jest niepokojący alert usługi przywracania i winmgmt). 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Problem powoduję szkodliwa zawartość pliku Hosts (przekierowywania na hosty adware / PUP). Po za tym przeglądarka Mozilla FireFox również wygląda na zmodyfikowaną. 1. Przez Panel Sterownia odinstaluj: fałszywe oprogramowanie zabezpieczające: ByteFence Anti-Malware. oprogramowanie zainstalowane drogą sponsorską: McAfee Security Scan Plus, McAfee WebAdvisor. zbędny program: Akamai NetSession Interface. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKU\S-1-5-21-3493526709-90934739-1363330275-1001\...\Policies\Explorer: [] ShortcutTarget: Network Server.lnk -> C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe (No File) SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\1317243296.js [2018-01-17] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\1317243296.cfg [2018-01-17] ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\Program Files\AMD\CNext\CNext\atiacm64.dll -> No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File C:\Users\Monia\Desktop\moniczka\SZKOŁA\Monika\PokeBlock Launcher.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Network Server.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chaos Group\V-Ray for SketchUp adv\Documentation\V-Ray for SketchUp Online Documentation.lnk C:\Users\Monia\Desktop\PROGRAMY DO PROJEKTOWANIA\TopSolid\TopSolid 2015.lnk C:\Users\Monia\Desktop\PROGRAMY DO PROJEKTOWANIA\TopSolid\TopSolid 2015\Multi Converter.lnk C:\Users\Monia\Desktop\PROGRAMY DO PROJEKTOWANIA\TopSolid\TopSolid 2015\TopSolid 2015 demonstration.lnk C:\Users\Monia\Desktop\PROGRAMY DO PROJEKTOWANIA\TopSolid\TopSolid 2015\TopSolid 2015.lnk C:\Users\Monia\Desktop\PROGRAMY DO PROJEKTOWANIA\TopSolid\TopSolid 2015\TopSolid API.lnk C:\Users\Monia\Desktop\PROGRAMY DO PROJEKTOWANIA\TopSolid\TopSolid 2015\TopSolid online Help.lnk C:\Users\Monia\Desktop\PROGRAMY DO PROJEKTOWANIA\TopSolid\TopSolid 2015\TopSolid Quick Reference.lnk C:\Users\Monia\Desktop\PROGRAMY DO PROJEKTOWANIA\TopSolid\TopSolid 2015\What's new for TopSolid'Design.lnk C:\Users\Monia\Desktop\moniczka2\CV Monika Aleksińska.lnk C:\Users\Monia\Desktop\moniczka\SZKOŁA\Monika\KALLAS - FAV CHARACTER.lnk C:\Users\Monia\Desktop\moniczka\SZKOŁA\Monika\PRACA LICENCJACKA rozdział I.lnk C:\Users\Monia\Desktop\moniczka\SZKOŁA\Monika\review.lnk Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Przepraszam za późną odpowiedź, ale byłem na urlopie. Tak, wszystko pomyślnie wykonane i nie widzę już problemów, a na temat ochrony przed infekcjami adware / PUP (teraz mieliśmy z nią do czynienia) proszę przeczytać - Portale z oprogramowaniem / Instalatory - na co uważać. Jeśli chodzi zaś o detekcje Malwarebytes to PUP.Optional.DriverPack ominąć (korzystasz z tego programu, bo jest zainstalowany), a PUP.Optional.APNToolBar dać do kasacji. Jak podsumowujesz obecną sytuację, czy omawiany problem ustąpił?

Byłem na urlopie, więc odpowiadam z opóźnieniem. Raporty nie wykazują oznak infekcji, w spoilerze zadaję działania poboczne do wykonania (czyszczenie pliku Hosts / kasacja polityk / martwych wpisów). System prawdopodobnie wykrył problematyczną aktywność związaną z Twoim adresem IP. Sugeruję go zmienić. W celu uzyskania nowego adresu IP spróbuj zresetować router lub poprosić o to swojego dostawcę internetowego.

Temat zostanie przeniesiony do działu Pomocy doraźnej. Brakuje głównego raportu FRST, ale na podstawie raportu Addition już widać elementy infekcji.

Wygląda na to, że te trzy pozostałe detekcje dotyczą wyszukiwarek adware / PUP w ustawieniu dostawy wyszukiwarek. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers1-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files (x86)\7-Zip\7-zip.dll -> Brak pliku ContextMenuHandlers4-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files (x86)\7-Zip\7-zip.dll -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku SearchScopes: HKU\S-1-5-21-296273819-3779705695-2377126671-1000 -> {785D7B8F-5E37-4DC4-A83F-26228576F8F5} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 SearchScopes: HKU\S-1-5-21-296273819-3779705695-2377126671-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Subtitle Workshop.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Uninstall Subtitle Workshop.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (Bulgarian).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (English).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (Espańol).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (Russian).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Informator\Informator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\7-Zip File Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\7-Zip Help.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Dziękuję w imieniu całego zespołu Fixitpc.pl za pomoc w utrzymaniu serwisu! Wszystko pomyślnie wykonane, infekcja usunięta. AdwCleaner nie wykrył już żadnych zagrożeń. Uznaję, że możemy kończyć. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Infekcja adware ulokowana jest w autostarcie oraz jako zadanie w Harmonogramie zadań. Po poniższych zabiegach problem powinien zniknąć. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-46472639-1844891849-1826016754-1001\...\Run: [suchar] => explorer.exe hxxp://ozirizsoos.info Task: {89FFC666-0F13-4BDA-9C83-201582F4BA54} - System32\Tasks\Suchar => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Suchar /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku CustomCLSID: HKU\S-1-5-21-46472639-1844891849-1826016754-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Suchar\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-46472639-1844891849-1826016754-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Suchar\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-46472639-1844891849-1826016754-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Suchar\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Suchar\AppData\Local\Mozilla C:\Users\Suchar\AppData\Roaming\Mozilla C:\Users\Suchar\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner z opcji Skanuj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Jest infekcja, ale: Log FRST kasuje - przy generacji poprawnego zestawu ten i tak będzie już nieaktualny. Proszę dostosować zestaw raportów zgodnie z naszymi zasadami działu.

Akcja pomyślnie wykonana. Zamykam.

Opcje synchronizacji > zjedź na sam dół > wybierz Resetuj synchronizację, a następnie skasuj detekcje w AdwCleaner i napisz czy już nic nie wykrywa. Czyli będziemy już powoli kończyć.

Programy łamiące oryginalność oprogramowania to zawsze loteria. Generalnie z doświadczenia wiem, że tu na forum często ich instalacja zbiegała się z infekcją systemu. Jeśli chodzi o sam crack to ostały jego blokady typu Debbuger i zadanie w Harmonogramie Zadań - wszystko usuwam. Przy okazji sprzątam system z resztek po infekcji adware i po wcześniej odinstalowanym oprogramowaniu m.in po przeglądarce Mozilla FireFox. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\Bartek\Desktop\Euro Truck Simulator 2\readme.rtf.lnk ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {C82C0D11-A4FF-483F-8E81-BF5D57A344F0} - System32\Tasks\R@1n-KMS\Office15ProPlus => wmic [Argument = path SoftwareLicensingProduct where (ID="b322da9c-a2e2-4058-9e4e-f59a6970bd69") call Activate] Task: {6E2DF108-48AE-46D2-B654-8FC2A0C2AC47} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {DD44CECA-C4B6-4949-AFE1-187C2858FBB6} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat C:\Program Files\DriverSetupUtility IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Bartek\AppData\Local\Mozilla C:\Users\Bartek\AppData\Roaming\Mozilla C:\Users\Bartek\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go.

Ten folder jest autentyczny, po prostu nie nadaję się do kasacji, ewentualnie jego zwartość celem usunięcia plików Cookies. I tak, rozumiem, że to był tylko Twój przykład.

Raporty mają być z miejsca, z którego został uruchomiony FRST (czyli bez dat w nazwie), a nie z archiwalnego C:\FRST. Brak dat jest potwierdzeniem, że są to najnowsze raporty.

Jako moderator muszę zwrócić na to uwagę: proszę poprawić wszystkie posty zgodnie z zasadami pisowni języka polskiego.

Mogłyby wystąpić problemy z przeglądaniem zasobów Internetu. Jako moderator muszę zwrócić na to uwagę: proszę poprawić wszystkie posty zgodnie z zasadami pisowni języka polskiego.

Jeśli wszystko jest już w porządku to kończymy. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

System wyczyszczony, została jeszcze tylko przeglądarka. Niestety, ale wygląda na to, że adware zmodyfikowało preferencje Google Chrome. Teoretycznie mógłbym to wszystko usunąć ręcznie, ale to zajmie więcej czasu niż kompleksowa reinstalacja: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Po tym zabiegu powinno być już wszystko OK, a AdwCleaner nie powinien nic wykrywać. Proszę na koniec o ocenę stanu systemu.

Posty łącze w jedną całość. Spokojnie, bez zbędnego nakręcania się. To wygląda po prostu na uszkodzony system, a nie na sprawę infekcji. Muszę jeszcze pomyśleć, jakie raporty przedstawią mi więcej.

Adware Mail.ru widoczne jest jeszcze w systemie (głównie w przeglądarce Google Chrome), ale powinniśmy się z tym szybko uporać. Wszystkie detekcje AdwCleaner zostały uwzględnione w skrypcie (dodatkowo odbędzie się czyszczenie pliku Hosts, kasacja martwych skrótów i resztek po wcześniej odinstalowanym oprogramowaniu). 1. Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj podejrzane instalacje bez podpisu wydawcy (no chyba, że są Ci znane to zostaw): ph, bl. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\Mail.Ru C:\ProgramData\Application Data\Mail.Ru C:\Users\All Users\Mail.Ru C:\Users\Kaczuszka\AppData\Local\Mail.Ru C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Amigo.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Amigo.lnk DeleteKey: HKU\S-1-5-21-926443373-218334621-2797000802-1001\Software\Mail.Ru DeleteKey: HKU\S-1-5-21-926443373-218334621-2797000802-1001\Software\AppDataLow\Software\Mail.Ru DeleteKey: HKCU\Software\Mail.Ru DeleteKey: HKCU\Software\AppDataLow\Software\Mail.Ru DeleteKey: HKCU\Software\Google\Chrome\NativeMessagingHosts\ru.mail.go.ext_info_host DeleteKey: HKU\S-1-5-21-926443373-218334621-2797000802-1001\Software\Amigo DeleteKey: HKCU\Software\Amigo C:\ProgramData\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\2\Visit Ubisoft website.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\1\Visit Techland website.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\0\Visit Call of Juarez - Bound in Blood website.lnk C:\Users\Kaczuszka\AppData\Local\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\2\Visit Ubisoft website.lnk C:\Users\Kaczuszka\AppData\Local\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\1\Visit Techland website.lnk C:\Users\Kaczuszka\AppData\Local\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\0\Visit Call of Juarez - Bound in Blood website.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Soldat.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer\San Andreas Multiplayer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Portal 2\Portal 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Portal 2\Uninstall Portal 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games\Alice Madness Returns\Alice Madness Returns.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games\Alice Madness Returns\Uninstall Alice Madness Returns.lnk C:\Users\Kaczuszka\Desktop\Programy\Malwarebytes.lnk C:\Users\Kaczuszka\Desktop\Gry\Run Republic.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Elixir Studios\Republic\Readme.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Elixir Studios\Republic\Run Republic.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Elixir Studios\Republic\Weblinks\Eidos Tech Support.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Elixir Studios\Republic\Weblinks\Eidos.com.lnk C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Office\Niedawny\ds11.LNK C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Office\Niedawny\Skuterowo-com-Umowa-Kupna-Sprzedazy (1).LNK C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Amigo Apps C:\Users\Kaczuszka\AppData\Local\Amigo HKU\S-1-5-21-926443373-218334621-2797000802-1001\Software\Classes\regfile: regedit.exe "%1" CHR HKU\S-1-5-21-926443373-218334621-2797000802-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-926443373-218334621-2797000802-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-926443373-218334621-2797000802-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-926443373-218334621-2797000802-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx S3 appdrv01.fs.{3A57190D-8B3A-4928-A98E-F9478E88DE20}; System32\Drivers\appdrv01.fs.{3A57190D-8B3A-4928-A98E-F9478E88DE20}.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Kaczuszka\AppData\Local\Mozilla C:\Users\Kaczuszka\AppData\Roaming\Mozilla C:\Users\Kaczuszka\AppData\Roaming\Profiles Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Ponów działanie AdwCleaner z opcji Skanuj. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Czy wykonywane są tylko moje instrukcje? Nie robisz nic ponad to? Ten system na pewno jest oryginalny?

Komputer pomyślnie wyczyszczony z adware, co ciekawa, usługi są w również porządku, żadna z nich nie jest uszkodzona...a wcześniej usługi wyglądały na uszkodzone, a część na wyłączona. Został nam problem z instalatorem, poproszę więc najpierw o skan i przefiltrowany raport Integralności Windows z opcji sfc /scannow.

Widoczne są fałszywe przeglądarki, które podszywają się pod oryginalne. Po za tym kupa innych śmieci adware... 1. Przez Panel Sterowania odinstaluj adware / PUP: WinSnare. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia SearchScopes: HKU\S-1-5-21-1006242395-2345654396-3546285009-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1006242395-2345654396-3546285009-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01072018221137668 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1006242395-2345654396-3546285009-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01072018221155419 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Web Helper BHO Class -> {A23E6775-A971-490B-A91B-1F6F17B3FC2A} -> C:\Users\TOMEK\AppData\Local\Temp\Data1002.cat => Brak pliku S4 MCSvc; C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCacher.dll [318976 2017-03-03] () [brak podpisu cyfrowego] S2 quztionnodifierkrg.exe; C:\Program Files\Thiphlverther\quztionnodifierkrg.exe [708832 2016-06-29] () [brak podpisu cyfrowego] S2 Refgexnafl; C:\Users\TOMEK\AppData\Roaming\Qumbuck\Qumbuck.exe [170496 2016-06-28] () [brak podpisu cyfrowego] S2 Loogki; "C:\Users\TOMEK\AppData\Roaming\OkycgeXobha\Jehsaty.exe" -cms [X] S2 odtclientsrv; "C:\Program Files\Odtheratezotain\odtclientsrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCacher.dll C:\Program Files\Thiphlverther C:\Users\TOMEK\AppData\Roaming\Qumbuck C:\Users\TOMEK\AppData\Roaming\OkycgeXobha C:\Program Files\Odtheratezotain S0 ddfkapoe; System32\drivers\iaysrdae.sys [X] 2017-03-03 18:58 - 2017-03-03 18:58 - 000000000 _____ () C:\Program Files\metadata 2018-01-07 19:58 - 2018-01-07 19:58 - 000000040 _____ () C:\Program Files\settings.dat ContextMenuHandlers1: [usbBoxContextMenu] -> {572ECEAD-2541-4C78-AA4B-C5491F0FE714} => -> Brak pliku ContextMenuHandlers1: [WinRAR] -> __{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers6: [WinRAR] -> __{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku Task: {9BFFF142-CEF2-4650-BBD8-7F992461648D} - System32\Tasks\{DD97E8BB-7C53-4D6C-B67D-3BFE225E393E} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Elex-tech\YAC\uninstall.exe" C:\Program Files\Elex-tech C:\Users\TOMEK\Desktop\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\4b56f71d541d5c2f\user0 - Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\710c01fcb5a0f501\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Program Files\Antper C:\Users\TOMEK\AppData\Local\Antper C:\Users\TOMEK\AppData\Roaming\Antper C:\Program Files\Firefox C:\Users\TOMEK\AppData\Local\\Firefox C:\Users\TOMEK\AppData\Roaming\Firefox DeleteKey: HKCU\Software\Antper DeleteKey: HKLM\SOFTWARE\WOW6432Node\Antper DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\TOMEK\AppData\Local\Mozilla C:\Users\TOMEK\AppData\Roaming\Mozilla C:\Users\TOMEK\AppData\Roaming\Profiles CMD: netsh advfirewall reset Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > utwórz nową Osobę, zaloguj się na nią > wejdź ponownie do opcji i skasuj wszystkie poprzednie Osoby. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). antper;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.