Miszel03

Avast chyba zapobiegł infekcji, bo w raportach jej nie widzę. Na wszelki wypadek wykonaj skan za pomocą HitmanPro.

Post podbijający kasuję. Nic poważnego to znaczy, że coś jednak wykrył? Poproszę o raport z tego skanu. Raporty nie wykazują oznak infekcji, zresztą z tego co widzę system chroni porządne oprogramowanie zabezpieczające. Temat przenoszę do działu Windows 10, gdzie ewentualnie będzie prowadzona dalsza pomoc. Trudno mi szukać tu przyczyny, proszę nie odebrać tego jako znachorską poradę, ale ja bym na całą noc po prostu odstawił komputer - rano być może problem pójdzie w niepamięć. Ewentualnie proszę dostarczyć następujące raporty: Przefiltrowany raport weryfikacji integralności systemu Windows z opcji sfc /scannow. Log CrystalDiskInfo. W spoilerze zadaję działania poboczne, czystko kosmetyczne działania sprzątające system. P.S: Otwórz przeglądarkę Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (trudno mi zweryfikować autentyczność ich wszystkich).

Raport kasuję, wszystkie dotyczą logu FRST. Do wglądu temat dot. generacji raportów. Te pliki w notatniku, które na koniec otwiera FRST są właśnie pożądane, jeśli istnieje problem z ich zapisaniem (choć FRST najpierw zapisuje je w lokalizacji, w której został uruchomiony, a potem otwiera) to proszę kolejno skopiować zawartość i dostarczyć trzy pliki, czyli FRST, Addition, Shortcut.

Dopiero teraz zauważyłem, że odpowiedziałeś. Akcja pomyślnie wykonana, cieszę się, że moje spostrzeżenia okazały się skuteczne. Proszę jeszcze o potwierdzenie czy mogę podać finalizacje tematu.

Akcja pomyślnie wykonana. W lokalizacji C:\Users\Waldek\AppData\Local istnieje wiele pustych folderów, ich nazwa wygląda następująco: Tempzxpsign(LOSOWY CIĄG ZNAKÓW). Możesz je skasować. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Raporty kasuje, ponieważ: - wersja 25-08-2015 jest mocno przestarzała, proszę pobrać najnowszą i wygenerować raporty ponownie. - mają być bez dat, czyli z miejsca, z którego został uruchomiony FRST, a nie z archiwalnego C:\FRST. Brak dat jest istotny, ponieważ potwierdza, że nie ma nowszych raportów.

Spokojnie, bez zbędnych nerwów.

Świetnie, uznaje więc, że możemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Infekcje usunięte, teraz tylko poprawki i mała diagnostyka folderu. 1. Zagrożenia wykryte przez HitmanPro daj do kasacji - opcja Usuń dla wszystkich (z pominięciem FRST bo to fałszywy alarm). Cześć po prostu się zdubluje, bo skaner wykrył również zagrożenia w kwarantannie FRST. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => -> Brak pliku ContextMenuHandlers6: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => -> Brak pliku ContextMenuHandlers6: [unlockerShellExtension] -> {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} => -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\Game Manual.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\Official Site.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\Register.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\Registration Notes.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\Uninstall Fishing Simulator for Relax.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\View Game Statistic.lnk Folder: C:\Users\Waldek\AppData\Local\Tempzxpsigneb58a5959244d490 Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przedstaw plik Fixlog, napisz jak oceniasz obecną sytuację - czy problem ustąpił?

Brakuje raportu Shortcut, ale dostarczysz mi go w następnym poście - mamy teraz inne priorytety. W systemie aktywna jest infekcja bezplikowa (ciąg komend zakodowanych w PowerShell) - prawdopodobnie z tym ESET ma problem. Oprócz tego widać szczątki po adware. Dodam jeszcze, że infekcja ta przypuszczalnie została zawleczona wraz z instalacją crack do Office - AutoKMS, więc go usuwam. Malwarebytes przypuszczalnie jest również lewo aktywowany - w pliku Hosts wpisy blokujące aktualizacje (proszę powiedzieć czy mam go wyczyścić). Dezynfekcja: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {1378A8D1-E70A-4821-B9D6-F07F3338AD15} - System32\Tasks\{0E0B0F47-7878-0A0D-7811-7F090D7D110D} => C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAAgADsAIAAgACAAIAA7ADsAOwA7ADsAOwAgACAAOwAgACAAIAAgADsAIAAgADsAOwAkAEUAcgByAG8AcgBBAGMAdABpAG8AbgBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AIgBzAHQAbwBwACIAOwAkAHMAYwA9ACIAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUAZQAiADsAJABXAGEA (dane wartości zawierają 10192 znaków więcej). Task: {017F40FC-D37E-4836-B8F4-E4F409F38786} - \e-pity2017_styczen -> Brak pliku Task: {34A507B5-8E15-41E8-89BE-D5173C81B095} - \e-pity2017_kwiecien -> Brak pliku Task: {4FAAC27C-3551-4899-962F-0C06E6FC9724} - \e-pity2016a_kwiecien -> Brak pliku Task: {D8BB0B2E-E9D5-4DDF-857E-361DC9CA2C2D} - \e-pity2016a_styczen -> Brak pliku Task: {837B4B0C-4F04-400E-A72E-FE84EA23F1AD} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2018-01-02] () C:\WINDOWS\AutoKMS C:\Users\Waldek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk C:\Users\Waldek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk AlternateDataStreams: C:\ProgramData\TEMP:182F0EEA [448] AlternateDataStreams: C:\ProgramData\TEMP:F46D2E85 [488] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia BootExecute: autocheck autochk * BootDefrag.exe GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-3143409620-2237551117-509473781-1001\Software\Microsoft\Internet Explorer\Main,Start Page = S3 FoxitReaderService; "C:\Program Files (x86)\Foxit Reader\FoxitConnectedPDFService.exe" [X] S3 AndnetBus; \SystemRoot\System32\drivers\lgandnetbus64.sys [X] S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X] S3 ohci1394; \SystemRoot\System32\drivers\ohci1394.sys [X] S2 WCMVCAM; \SystemRoot\system32\DRIVERS\wcmvcam64.sys [X] 2018-01-02 15:58 - 2018-01-02 16:04 - 000000000 ____D C:\Disk 2018-01-02 15:58 - 2018-01-02 15:58 - 000000000 ____D C:\Windat 2018-01-02 15:57 - 2018-01-02 15:57 - 000140800 _____ C:\Users\Waldek\AppData\Local\installer.dat Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą programu HitmanPro, jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Infekcja pomyślnie usunięta. 1. Przez klawisz SHIFT + DELETE (ominięcie kosza) skasuj folder C:\Program Files (x86)\Mozilla FireFox 2. Jak podsumowujesz obecną sytuację? Czy problem ustąpił?

Infekcja adware umiejscowiła się w Harmonogramie Zadań dodając wpis startowy Google Chrome z atrybutem hostu reklam / adware. Po za tym widoczne są inne wpisy infekcji. Od razu przechodzimy do działań: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM-x32\...\Chrome\Extension: [ligncphnohhjkgekjkghahajihclailj] - hxxps://clients2.google.com/service/update2/crx ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {11A1355E-74B7-4403-965F-5D5F6C8F7BB2} - System32\Tasks\bltopncomhohoj => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" bltopn.com/hohoj Task: {5CC3BF70-8F9E-4F5B-9324-0437989BF219} - System32\Tasks\diaBwAC => C:\Users\Tomek\AppData\Local\KFpvnQr.bat Task: {A81A5C34-540B-4D39-B27C-F29AB89AB36C} - System32\Tasks\LEJuPHPn => C:\Users\Tomek\AppData\Local\HZFuUvea.bat C:\Users\Tomek\AppData\Local\KFpvnQr.bat C:\Users\Tomek\AppData\Local\HZFuUvea.bat DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Tomek\AppData\Local\Mozilla C:\Users\Tomek\AppData\Roaming\Mozilla C:\Users\Tomek\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tomek\AppData\Local CMD: dir /a C:\Users\Tomek\AppData\LocalLow CMD: dir /a C:\Users\Tomek\AppData\Roaming CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji (skrypt dotyczy usuwania: szczątek po wcześniej odinstalowanym oprogramowaniu np. po przeglądarce Mozilla FireFox, martwych wpisów / skrótów), więc przypuszczalnie coś siedzi w komponentach Google Chrome, skoro tylko tej przeglądarki dotyczy komunikat. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia SearchScopes: HKU\S-1-5-21-67369069-3550199738-2897661686-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat\Help (ENG).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat\Help (PLK).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat\Uninstall WinDirStat.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat\WinDirStat.lnk C:\Users\Matt Cry\Links\3 Politechnika Gdańska.lnk C:\Users\Matt Cry\Documents\OriginLab\90\User Files\Origin Samples Folder.lnk C:\Users\Matt Cry\Documents\Corel\Corel PHOTO-PAINT X7 Samples\target.lnk C:\Users\Matt Cry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Bat!.LNK C:\Users\Matt Cry\AppData\Roaming\Microsoft\Windows\SendTo\The Bat!.LNK C:\Users\Matt Cry\AppData\Roaming\Microsoft\Excel\lista%20donosiciela%20serwis%20nowy306317551400544427\lista%20donosiciela%20serwis%20nowy.xlsx.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Matt Cry\AppData\Local\Mozilla C:\Users\Matt Cry\AppData\Roaming\Mozilla C:\Users\Matt Cry\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wykonaj kompleksową reinstalacje przeglądarki Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Przeskanuj system za pomocą Hitman Pro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Dostarcz plik Fixlog, napisz czy problem ustąpił.

Luuk, I wish all the best for You. Thank you for technical support of the forum.

Brakuje raportu Shortcut - uzupełnij. Poproszę o link do tematu, gdzie była prowadzona pomoc.

W raportach brak oznak infekcji. Zadania poboczne (usuwanie: szczątek po wcześniej odinstalowanym oprogramowaniu np. po przeglądarce Mozilla FireFox, martwych wpisów / skrótów) zadaję do wykonania w spoilerze (z mojej strony to tyle).

W tych raportach jak wcześniej mówiłem brak oznak infekcji. Przeskanuj system zainstalowanym Malwarebytes po uprzedniej aktualizacji. Dostarcz zestaw raportów z laptopa. Robak Gamarue zmienia pliki w skróty. Być może tylko pendrive jest zainfekowany, dostarcz log USBFix z opcji analizy USB (podepnij wtedy pendrive do komputera).

W raportach (zestaw Nettop 2) brak oznak infekcji. Czy do infekcji Gamarue na Nettopie doszło przed wygenerowaniem raportów? Jeśli tak to musisz wykonać je od nowa, bo zaszły zmiany w systemie. Wyczyść ten folder z raportami na chmurze, bo wszystko jest bałagan. Trochę zbyt szybko podejmujesz decyzje. Dostarcz zestaw raportów FRST, Gamarue jest łatwy do wyleczenia.

Uznaję, że możemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

ComboFix i FRST to fałszywe alarmy, ale z tym pierwszym proszę uważać - KLIK. Ciasteczka możesz skasować. Jak podsumowujesz obecną sytuację?

Akamai NetSession Interface oraz SpyBot Search & Destory możesz odinstalować całkowicie - pierwszy jest zbędny, a drugi przestarzały i nieskuteczny względem nowych zagrożeń. Wpisy związane z Samsung Link, Nokia, Opera, Skype możesz wyłączyć (w momencie potrzeby ich wykorzystania, załadują się po prostu wolniej, ale za to nie obciążą ładowania Windows na początku). Na przyszłość w takich sprawach najlepszy jest log Autoruns. P.S: O ile Avast wraz z Shadow Defender mogą świetnie pracować to Avast i antywirus z ZoneAlarm mogą się nawzajem sprzeczać. Odinstaluj jeden z nich (no chyba, że wpis ZoneAlarm związany jest z innym narzędziem ochronnym, a nie antywirusem).

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne do wykonania (kosmetyka systemowa). Temat przenoszę do działu Windows 8, gdzie będzie prowadzona dalsza pomoc. Na początek sprawdź czy pomimo wyłączonego oprogramowania zabezpieczającego (u Ciebie jest to AVG Antivirus) problem nadal występuję. Jeśli powyższy krok nie pomoże, proszę przywrócić przeglądarki do ustawień fabrycznych: Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Internet Explorer: KLIK.

Tak, teraz wszystko gładko się przetworzyło. Infekcja usunięta, teraz poprawki. 1. Przez SHIFT + DELETE skasuj poniższe pliki: C:\Users\CIAM\AppData\Local\iwCbVahWuGv.bat C:\Users\CIAM\AppData\Roaming\VVBWugZ.bat 2. Na koniec przeskanuj system za pomocą Hitman Pro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Widoczna jest infekcja uruchamiana z poziomu Harmonogramu zadań, ale szybko się z tym uporamy. P.S: Widzę komponenty Logixoft, to oprogramowanie monitorujące (można powiedzieć szpiegujące) działanie komputera. To nie złośliwe oprogramowanie, ale często wykorzystywane przez rodziców czy szefostwo firm. Nie wiem czy to tylko szczątki, bo takie programy potrafią się maskować. Proszę o informacje czy mam to ruszać, czy nie. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku Task: {44188375-2E7F-4332-814F-C4B14DA5371F} - System32\Tasks\{14DE3117-84CE-07B5-5001-755F87E5F83F} => C:\Users\admin\AppData\Roaming\{14DE3~1\Updater.exe Task: {80C24173-D232-4B34-85CA-80E2432E3435} - System32\Tasks\adminDoggieSaucyV2 => rundll32.exe BlowzyReargues.dll,main 7 1 C:\Users\admin\AppData\Roaming\{14DE3~1\ SearchScopes: HKU\S-1-5-21-2766749694-852836189-2292908299-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM-x32 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^HJ^xdm007^S05929^pl&si=CMfiraTQ0rcCFQ5d3godjk0AjQ&ptb=8DD32422-F5D3-4570-BEEE-CDA8CE9A0973&ind=2013060806&n=77fcdec6&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-2766749694-852836189-2292908299-1001 -> {9259E094-5811-41E8-A50D-8B01E73F2C71} URL = hxxp://services.zinio.com/search?s={searchTerms}&rf=sonyslices BHO: Portfel Bitdefender -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll => Brak pliku BHO-x32: Portfel Bitdefender -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll => Brak pliku Toolbar: HKLM - Portfel Bitdefender - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll Brak pliku Toolbar: HKLM-x32 - Portfel Bitdefender - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] FF HKLM\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff => nie znaleziono FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff => nie znaleziono FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono CHR HKU\S-1-5-21-2766749694-852836189-2292908299-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [obilhkhfmlggcoildcnoeknaghkiiclj] - C:\Users\admin\AppData\Local\CRE\obilhkhfmlggcoildcnoeknaghkiiclj.crx CHR HKLM-x32\...\Chrome\Extension: [fagpjgjmoaccgkkpjeoinehnoaimnbla] - C:\Users\admin\AppData\Roaming\BabSolution\CR\hola.crx CHR HKLM-x32\...\Chrome\Extension: [kincjchfokkeneeofpeefomkikfkiedl] - C:\Program Files (x86)\OApps\chromeaddon.crx CHR HKLM-x32\...\Chrome\Extension: [obilhkhfmlggcoildcnoeknaghkiiclj] - C:\Users\admin\AppData\Local\CRE\obilhkhfmlggcoildcnoeknaghkiiclj.crx S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\Users\Wika.wika-VAIO.001\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KogamaLauncher-WWW\KogamaLauncher-WWW.lnk C:\Users\admin\Desktop\Kontynuuj instalację Total Commander 8.01.lnk C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Voice Changer Software DIAMOND\License.lnk C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Voice Changer Software DIAMOND\Read Me.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Szkola podstawowa klasa 4\Odinstaluj Tajemnice przyrody.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Play\German Lowriders\Instrukcja Obsługi.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Marine Park Empire\Deinstalacja programu Marine Park Empire.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeKeyl0gger\FreeKeyl0gger.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bitdefender Security\Bitdefender Safepay.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Award Keylogger Pro\Award Keylogger Pro on website.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Award Keylogger Pro\Award Keylogger Pro.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Award Keylogger Pro\Uninstall Award Keylogger Pro.lnk C:\Users\Public\Music\Sample Music\leel.lnk C:\Users\wika\Desktop\FlatOut Ultimate Carnage — skrót.lnk C:\Users\wika\Desktop\Harry Potter i Insygnia Śmierci™ – część 1 — skrót.lnk C:\Users\wika\Desktop\natatnik do rysowania.lnk C:\Users\wika\Desktop\Skype.lnk C:\Users\wika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\FlatOut Ultimate Carnage.lnk C:\Users\Wika.wika-VAIO.001\Desktop\Spotify.lnk C:\Users\Wika.wika-VAIO.001\Desktop\xd\Nowy folder\Nowy folder\Action!.lnk C:\Users\Wika.wika-VAIO.001\AppData\Roaming\Microsoft\Word\Dokument305091471807302708\Dokument.rtf.lnk C:\Users\Wika.wika-VAIO.001\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk C:\Users\Wika.wika-VAIO.001\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mirillis\Action!\Action!.lnk C:\Users\Wika.wika-VAIO.001\AppData\Local\GG\Application\gg.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, więc robisz tylko kompleks aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty zostały wygenerowane na złych ustawieniach, proszę wykonać je według instrukcji, którą mamy na forum. Jeśli występuję niemożność załączenia to proszę użyć serwisu wklejkowego - wklej.org.