Miszel03

W spoilerze jest jeden plik zadany do skanowania w serwisie VirusTotal - to prawdopodobnie nic szkodliwego, ale jednak proszę o wykonanie zadania. Nic mi tutaj nie wskazuję na to, że jesteś szpiegowany, możesz przeprowadzić dodatkowo skanowanie antywirusowe całego systemu np. za pomocą Hitman Pro lub Malwarebytes AntiMalware, a nawet wykorzystując do tego swojego antywirusa. To był właśnie chyba ten komponent ESET...

Przez chwile były dostępne do pobrania i zauważyłem tą nieprawidłowość. Gdy chciałem pobrać logi ponownie zauważyłem, że je skasowałeś = to był dla mnie znak, że być może się pomyliłeś. Raporty nie wykazują oznak infekcji. Wydaję mi się, że to jest efekt działania modułu ESET Anti-Theft. Wg raportów ESET jest u Ciebie czynny (...ale do aktualizacji!). AV: ESET Smart Security (Enabled - Up to date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70} AS: ESET Smart Security (Enabled - Up to date) {577C8ED3-C22B-48D4-E5E0-298D0463E6CD} FW: Zapora osobista ESET (Enabled) {D426EE12-AE7E-4602-F40F-BBCA8137EB0B} To konto jest komponentem Windows Defender Application Guard. W spoilerze zadaję działania poboczne - sprzątanie resztek po wcześniej odinstalowanym oprogramowaniu, usuwanie martwych wpisów i bezplikowych skrótów.

Posty porządkowe skasowałem. Piszemy w tym samym czasie Na stronie hostingu widnieje komunikat, że plik stracił ważność lub został usunięty. Raporty mają być z miejsca, z którego został uruchomiony FRST (czyli bez dat w nazwie), a nie z archiwalnego C:\FRST.

Picasso prowadzi temat, ja jedynie napiszę, że przepraszam leliwka za zamieszanie - nie zwróciłem uwagi na ten komponent, który rzeczywiście wygląda na infekcje.

Post podbijający kasuję. Wygląda to o wiele lepiej, ale UCBrowser nadal siedzi - z tego co widzę, Malwarebytes z nim sobie poradzi. Po za tym przy okazji usunie inne infekcje i resztki. Zbliżamy się do końca 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji (pominąć możesz detekcje związane z DAEMON Tools Lite, bo masz go zainstalowanego). Dostarcz raport z tego działania. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Program Files\TYYII14TX4 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Ponów skan Malwarebytes, by upewnić się, że już nic nie wykrywa. Jeśli coś jednak zostanie wykryte to tak jak poprzednio niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

KLIK Powiem Ci tylko drogi użytkowniku, że że zachowujesz się niepoważnie i to do granic możliwości. Zakładasz tematy na różnych forach, bez powiadomienia nikogo. Dwie osoby pomagające pracują w tym samym czasie - tracą czas, bo przecież do wykonania jest tylko jedna partia instrukcji. Straciłem cenną godzinę na Twój temat. Rozumiem, że każdy chce pomocy jak najszybciej, ale no...trochę wyobraźni. Niech pomoc będzie prowadzona na Pclab, bo tam się zaczęła.

Posty porządkowe skasowałem. W systemie widoczne są infekcje adware oraz inne. Ponad to adresy DNS ustawione z poziomu Windows są zagraniczne i wyglądają na zarażone (KLIK / KLIK) - usuwam je. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {BD4F5FCA-61CA-400E-8388-F5CF1351B5CB} - System32\Tasks\space(title, t_monitor) => C:\Program Files (x86)\SystemHealer\HealerConsole.exe HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [1744468] => C:\Users\User\AppData\Roaming\ziszkkva3f2\pflwkpoppbs.exe [907150 2017-12-09] (riggar ) HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [2535864] => C:\Users\User\AppData\Roaming\aw3qvtzkrdv\pjketuc2yqz.exe [907150 2017-12-09] (riggar ) HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [7255537] => C:\Users\User\AppData\Roaming\lztk53op3ed\e100h3ocdok.exe [907150 2017-12-09] (riggar ) HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [6899054] => C:\Users\User\AppData\Roaming\20rxfdrcezi\wka1wyksfr5.exe [907150 2017-12-09] (riggar ) HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [5369713] => C:\Users\User\AppData\Roaming\lnu0sr15ine\wttaatfeb15.exe [907150 2017-12-09] (riggar ) HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [9242629] => C:\Users\User\AppData\Roaming\tivd5ds2xh1\vwkra3bny1y.exe [907150 2017-12-09] (riggar ) C:\Users\User\AppData\Roaming\ziszkkva3f2 C:\Users\User\AppData\Roaming\aw3qvtzkrdv C:\Users\User\AppData\Roaming\lztk53op3ed C:\Users\User\AppData\Roaming\20rxfdrcezi C:\Users\User\AppData\Roaming\lnu0sr15ine C:\Users\User\AppData\Roaming\tivd5ds2xh1 AppInit_DLLs: C:\ProgramData\Quoteex\Yearlax.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\Alphatax.dll => Brak pliku C:\ProgramData\Quoteex GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrA7RVHtgN_gnVnWVaXlpVpLgvuo5S8hEI0HiLY-x6i3X8hPhff5Utr0u7fJN5cnvM5wW2Q0AdYhoY1aF7lXuljVotApiF_oYRrD8XIjJLPpzk6_Elgyro4X_FAyQ3leSwnlyny_eKISABwt3e7hTNDnBkWw,,&q={searchTerms} HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrA7RVHtgN_gnVnWVaXlpVpLgvuo5S8hEI0HiLY-x6i3X8hPhff5Utr0u7fJN5cnvAT5-aR2HByHjjEw8U860rJejmG8_AVD8GrFoB_A0y2oVBfFieu8aRe1DNz8uIbnIEnadg6fCLXcPwRd54LQptqq6gjA,, SearchScopes: HKLM-x32 -> DefaultScope - brak wartości R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) C:\Program Files (x86)\UCBrowser C:\Users\User\AppData\Local\UCBrowser 2017-12-09 13:37 - 2017-12-09 13:37 - 007561216 _____ () C:\Users\User\AppData\Local\agent.dat 2017-12-09 13:37 - 2017-12-09 13:37 - 000070800 _____ () C:\Users\User\AppData\Local\Config.xml 2017-12-09 13:36 - 2017-12-09 13:36 - 000140800 _____ () C:\Users\User\AppData\Local\installer.dat 2017-12-09 13:37 - 2017-12-09 13:37 - 001895382 _____ () C:\Users\User\AppData\Local\Konkit.bin 2017-12-09 13:37 - 2017-12-09 13:37 - 000005568 _____ () C:\Users\User\AppData\Local\md.xml 2017-12-09 13:37 - 2017-12-09 13:37 - 000126464 _____ () C:\Users\User\AppData\Local\noah.dat 2017-12-09 13:37 - 2017-12-09 13:37 - 001980959 _____ () C:\Users\User\AppData\Local\Rehold.tst 2017-12-09 13:37 - 2017-12-09 13:37 - 000032038 _____ () C:\Users\User\AppData\Local\uninstall_temp.ico 2017-12-09 13:37 - 2017-12-09 13:37 - 000278508 _____ () C:\Users\User\AppData\Local\ViaOzefix.tst 2017-12-09 14:03 - 2017-12-09 14:50 - 000000000 ____D C:\Program Files\66U0T6MXBG 2017-12-09 13:46 - 2017-12-09 13:48 - 000000000 ____D C:\Users\User\AppData\LocalLow\ZUAwrnxgIZhKc 2017-12-09 13:39 - 2017-12-09 14:21 - 000000000 ____D C:\Program Files\SE6135IAQE Tcpip\..\Interfaces\{9FB8A1B0-7156-4E41-990A-08D41F0D0026}: [NameServer] 82.163.142.8,95.211.158.136 CMD: ipconfig /flushdns CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\User\AppData\Local CMD: dir /a C:\Users\User\AppData\LocalLow CMD: dir /a C:\Users\User\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Uruchom przeglądarkę Opera, a następnie za pomocą kombinacji klawiszy CTRL + SHIFT + E przejdź do Rozszerzenia i skasuj wszystkie nieznane Ci i niepotrzebne rozszerzenia (szczególną uwagę zwróć na rozszerzenie Safe browsing - wydaję mi się, że jest ono szkodliwe, więc raczej skasuj je). 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Dzięki. O to mi chodziło. Wynik jasno symbolizuję to, że plik nie jest podpisany i raczej nieoryginalny. Wg VirusTotal nie jest zarażony, ale też brak wykrycia podpisu cyfrowego. Musimy podmienić ten plik na oryginalny, ale ja niestety posiadam inny system. Poprosiłem o ten plik picasso - może go gdzieś ma, w każdym razie powinienem go niebawem załatwić. To powinno rozwiązać problem.

Witaj mindinsider! Proszę dostosować temat do zasad działu bym mógł Ci pomóc.

Witaj Jakobs1134! Proszę dostosować temat do zasad działu bym mógł Ci pomóc.

To już dużo mi mówi. Problem nie wydaje się być duży. Rozumiem, że oprócz dialogu przed startem Windows i niedziałającym Trybem awaryjnym awaryjnym nie ma innych problemów?. Musimy zweryfikować sumy kontrolne (zaszłą jakaś zamiana) i ewentualnie podmienić pliki na poprawne. W FRST w polu Search wklep nazwę osloader.exe, klik w Search files i dostarcz log.

Witaj Gracjan1122! Raport GMER nie jest u nas wymagany, pominąłeś za to raport Shortcut generowany przez FRST. Niestety, nie mam dobrych wieści. W systemie widoczne są instalacje adware oraz inne infekcje cięższego kalibru. To właśnie one blokują możliwość wyszukiwania oprogramowania antywirusowego oraz natrętnych reklam. Niosą one za sobą pewnie wiele innych niebezpieczeństw, nie wykonuj na tym systemie żadnych ważnych operacji. Na koniec prewencyjnie zmienisz hasła do wszystkich swoim ważnych kont i poinformujesz o tym inne osoby, które mogły korzystać z tego systemu. 1. Przez Panel Sterowania odinstaluj adware / PUP: SafeFinder, YoutubeAdBlock, FastDataX oraz zbędny McAfee Security Scan Plus. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: Task: C:\Windows\Tasks\boQbXxbEJPaDgWztw.job => C:\Program Files (x86)\OGqwJxyzdjgEZIvrFER\TerLZYT.dll Task: C:\Windows\Tasks\jVVcebPoCjhHKmi.job => C:\Program Files (x86)\ExRIRmygU\PBDLPu.dll C:\Program Files (x86)\OGqwJxyzdjgEZIvrFER C:\Program Files (x86)\ExRIRmygU C:\Users\Admin\AppData\Roaming\8aba6cd40f73476c9cb0639bef99e358 C:\Users\Admin\AppData\Local\600e32cc65484984bf97c124ced2ed9c MSCONFIG\startupreg: QOWCFULWED.exe => C:\Program Files\Microsoft Silverlight\CKOKAINZRD\QOWCFULWED.exe MSCONFIG\startupreg: mailruhomesearch => "C:\Users\Admin\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred MSCONFIG\startupreg: EPL01NH7rf => C:\Program Files\tFappltlptFJeApA\.EPLappltlpEPL.vbs C:\Program Files\Microsoft Silverlight\CKOKAINZRD C:\Users\Admin\AppData\Local\Mail.Ru HKLM\...\Run: [Gx0SKqyW5Q] => C:\Program Files\tFappltlptFJeApA\.EPLappltlpEPL.vbs [168 2017-12-09] () HKLM\...\RunOnce: [Lahin_Raw_barra_al3eb_b3id_XBEIGNNMFF.exe] => C:\Program Files\TeamSpeak 3 Client\CPKMJTDLNN\XBEIGNNMFF.exe [114688 2017-12-09] () HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\Run: [ZTy0tPB5TL.exe] => C:\Users\Admin\AppData\Roaming\8aba6cd40f73476c9cb0639bef99e358\ZTy0tPB5TL.exe [114688 2017-12-09] () HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\Run: [i1tU5LHtnAQ4Gp.exe] => C:\Users\Admin\AppData\Local\600e32cc65484984bf97c124ced2ed9c\I1tU5LHtnAQ4Gp.exe [460800 2017-12-09] () HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\RunOnce: [QAKFPFLEWU.exe] => C:\Program Files\Microsoft Silverlight\CKOKAINZRD\QAKFPFLEWU.exe [751616 2017-12-09] () HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\RunOnce: [kYjIVLeXfr03.exe] => C:\ProgramData\e3e16e48e3c24b3281fbb3ac9fec888e\kYjIVLeXfr03.exe [598016 2017-12-09] () HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\RunOnce: [YARNWTCFRN.exe] => C:\Users\Admin\AppData\Roaming\baf4871c2b8e4b6680f25e80db38b7a4\YARNWTCFRN.exe [598016 2017-12-09] () HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\RunOnce: [RA8LaP8jH.exe] => C:\ProgramData\f420035d068148589f4f589622913adf\RA8LaP8jH.exe [598016 2017-12-09] () HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\RunOnce: [Xt8ZyAnBph.exe] => C:\Users\Admin\AppData\Roaming\e4f4c8ddb062481e83928e6167aa6c27\Xt8ZyAnBph.exe [598016 2017-12-09] () C:\Program Files\tFappltlptFJeApA C:\Program Files\TeamSpeak 3 Client\CPKMJTDLNN C:\ProgramData\e3e16e48e3c24b3281fbb3ac9fec888e C:\Users\Admin\AppData\Roaming\baf4871c2b8e4b6680f25e80db38b7a4 C:\ProgramData\f420035d068148589f4f589622913adf C:\Users\Admin\AppData\Roaming\e4f4c8ddb062481e83928e6167aa6c27 HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 AppInit_DLLs: C:\ProgramData\Subair\JayDax.dll => C:\ProgramData\Subair\JayDax.dll [342528 2017-12-09] () AppInit_DLLs-x32: C:\ProgramData\Subair\Hot-Dex.dll => C:\ProgramData\Subair\Hot-Dex.dll [460800 2017-12-09] () C:\ProgramData\Subair C:\ProgramData\Subairs Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.jItappltlpjIt.vbs [2017-12-09] () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.jItappltlpjIt.vbs GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-1774506419-689819666-2243541019-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKEuSFSnixW3DnC4CltYU5jQZyM-m6Rwd2LNxAZU-GM0vA4XqMNCbx2JdTRbsTG-e4dMEvyNCvZa5fnhxyzTAgma_kECgDZmJ0ycf6f0VpcUMHZHu9YkWy68GufW3Snx-pDVSVld2TjU_GUxW_wP9ucJL3Px0,&q={searchTerms} HKU\S-1-5-21-1774506419-689819666-2243541019-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKEuSFSnixW3DnC4CltYU5jQZyM-m6Rwd2LNxAZU-GM0vA4XqMNCbx2JdTRbsTG-e4eNDp1uKSV3FZCBHdLHVCs304YQpB_XYA_obNQXuNhViF68q3IiiosqRB0W19xxnJpolYItS7nmSBQgjiOOBATnO-XXU, SearchScopes: HKU\S-1-5-21-1774506419-689819666-2243541019-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B47054170-AF65-496F-9CEA-C2B0BE8CC0F7%7D&gp=855503 FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S2 Subair; C:\ProgramData\\Subair\\Subair.exe [1814528 2017-12-09] (TODO: ) [brak podpisu cyfrowego] R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-12-09] () [brak podpisu cyfrowego] R2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [43520 2017-12-09] () [brak podpisu cyfrowego] C:\ProgramData\Logic Cramble C:\ProgramData\PrefsSecure U3 uwddakob; \??\C:\Users\Admin\AppData\Local\Temp\uwddakob.sys [X] 2017-12-09 16:43 - 2017-12-09 16:43 - 000000000 ____D C:\Program Files (x86)\vknAtWNPMhpU2 2017-12-09 16:43 - 2017-12-09 16:43 - 000000000 ____D C:\Program Files (x86)\gVEKLTxUjIE 2017-12-09 16:43 - 2017-12-09 16:43 - 000000000 ____D C:\Program Files (x86)\FpGcSjfNZDUn 2017-12-09 16:41 - 2017-12-09 16:43 - 000000000 ____D C:\Program Files (x86)\ExRIRmygU 2017-12-09 16:01 - 2017-12-09 16:02 - 000000000 ____D C:\Users\Admin\AppData\LocalLow\ZUAwrnxgIZhKc 2017-12-09 15:30 - 2017-12-09 15:31 - 000000000 ____D C:\ProgramData\21698dcd3cdf4d6fa18313f33c5d2fa6 2017-12-09 15:30 - 2017-12-09 15:30 - 000000000 ____D C:\Users\Admin\AppData\Local\dfe6b40a706b4ed6854cdd990ff694f2 2017-12-09 15:30 - 2017-12-09 15:30 - 000000000 ____D C:\Users\Admin\AppData\Local\31b7ec7164c249c193bd1180ffc87fa8 2017-12-09 15:32 - 2017-12-09 15:32 - 000906752 _____ C:\Windows\schose.exe 2017-12-09 15:41 - 2017-12-09 16:43 - 007561216 _____ () C:\Users\Admin\AppData\Local\agent.dat 2017-12-09 15:41 - 2017-12-09 16:43 - 000070800 _____ () C:\Users\Admin\AppData\Local\Config.xml 2017-12-09 15:39 - 2017-12-09 15:39 - 000278508 _____ () C:\Users\Admin\AppData\Local\Finlight.bin 2017-12-09 16:39 - 2017-12-09 16:40 - 000016080 _____ () C:\Users\Admin\AppData\Local\InstallationConfiguration.xml 2017-12-09 15:31 - 2017-12-09 15:31 - 000140800 _____ () C:\Users\Admin\AppData\Local\installer.dat 2017-12-09 16:43 - 2017-12-09 16:43 - 000018432 _____ () C:\Users\Admin\AppData\Local\Main.dat 2017-12-09 15:41 - 2017-12-09 16:43 - 000005568 _____ () C:\Users\Admin\AppData\Local\md.xml 2017-12-09 15:40 - 2017-12-09 15:39 - 001814528 _____ (TODO: ) C:\Users\Admin\AppData\Local\MedTough.exe 2017-12-09 15:41 - 2017-12-09 15:41 - 001979322 _____ () C:\Users\Admin\AppData\Local\MedTough.tst 2017-12-09 15:41 - 2017-12-09 16:43 - 000126464 _____ () C:\Users\Admin\AppData\Local\noah.dat 2017-12-09 16:39 - 2017-12-09 16:39 - 000930816 _____ () C:\Users\Admin\AppData\Local\po.db 2017-12-09 16:43 - 2017-12-09 16:39 - 001814528 _____ (TODO: ) C:\Users\Admin\AppData\Local\Standax.exe 2017-12-09 16:43 - 2017-12-09 16:43 - 001979833 _____ () C:\Users\Admin\AppData\Local\Standax.tst 2017-12-09 16:41 - 2017-12-09 16:41 - 000278508 _____ () C:\Users\Admin\AppData\Local\VilaLight.bin 2017-12-09 16:44 - 2017-12-09 16:44 - 001895383 _____ () C:\Users\Admin\AppData\Local\Zummatough.bin Unlock: DrToolKrl R5 DrToolKrl; C:\Windows\System32\Drivers\DrToolKrl.sys [62552 2017-12-09] () [brak podpisu cyfrowego] C:\Windows\System32\Drivers\DrToolKrl.sys DeleteKey: HKU\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Przeglądarka Google Chrome nie wygląda dobrze, wpisy kojarzą mi się z modyfikacją preferencji. Wymagana jest kompleksowa reinstalacja przeglądarki. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Czy coś uległo zmianie?

Plik Hosts jest zarażony domenami adware / PUP. To może powodować lekkie opóźnienia w korzystaniu z Internetu, oprócz tego widać tylko martwe wpisy / resztki po oprogramowaniu. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 桧榘查ᗿꅠ柤ｐ렕蕧뻀꒠柔䔏觰퐵譧ￎ�ｧ⯖謇ࡏ圛⬄诈ే숛╸ѿ즅ὴｪ￘僿牒HdsKe; C:\Windows\system32\drivers\桧榘查ᗿꅠ柤ｐ렕蕧뻀꒠柔䔏觰퐵譧ￎ�ｧ⯖謇ࡏ圛⬄诈ే숛╸ѿ즅ὴｪ￘僿牒HdsKe.sys [105136 2017-09-08] (AVAST Software) [brak podpisu cyfrowego] C:\Users\Dom\Searches\Desktop\programy\Przeglądarka internetowa w piaskownicy.lnk C:\Users\Dom\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk Folder: C:\Program Files\Common Files\avast software CMD: dir /a "C:\Program Files\Common Files\avast software" Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Usługa wygląda na niezawirusowaną. Moja rola się na tym kończy, teraz ktoś inny przejmie temat.

Proces dezynfekcji przebiegł pomyślnie. Widzę, że została wyłączona opcja skanowania Integralności - włączę ją skryptem. Skonsultuje temat z picasso. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [135] C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Adresowanie koperty adres lewa strona.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Außergewöhnlicher Arzt.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Guten tag.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Rezygnacja z umowy NC+.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Schneider.docx.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Schneider2.jpg.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Starnberg1.jpg.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Starnberg5.jpg.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\terprzyprze.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\tłumacz-domi.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Wd0000000.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Zimna woda.doc.LNK C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat\Help (PLK).lnk nointegritychecks: ==> "IntegrityChecks" [funkcja wyłączona] <==== UWAGA Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Ponownie dostarcy przefiltrowany skan integralności systemu Windows z opcji sfc /scannow 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

USBFix pobierz ze strony domowej i powtórz akcje. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. AVG odinstaluj przez Panel Sterownia, skoro dedykowany deinstalator zawiódł. 3. Zrób nowy zestaw raportów FRST.

Akcja pomyślnie wykonana. Skoro reset routera nie przydzielił nowego adresu IP to pozostaje poprosić o to usługodawcę. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Raporty nie wykazują oznak infekcji. System CloudFlare prawdopodobnie wykrył problematyczną aktywność związaną z Twoim adresem IP. Sugeruję go zmienić. W celu uzyskania nowego adresu IP spróbuj zresetować router lub poprosić o to swojego dostawcę internetowego. W spoilerze zadaję działania poboczne (raczej bez związku z problemem) - usuwanie martwych wpisów, skrótów i czyszczenie lokalizacji tymczasowych.

Raporty nie wykazują oznak infekcji (drobne szkodliwe zmiany w pliku Hosts). Temat przenoszę do działu Windows 7, gdzie będzie prowadzona dalsza pomoc. W spoilerze zadaję działania poboczne: czyszczenie pliku Hosts, pustych wpisów, usunięcie polityk gryp i czyszczeniem lokalizacji tymczasowych. Wiesz może dlaczego C:\Windows\system32\wuaueng.dll nie posiada podpisu cyfrowego? To usługa Windows Update Agent - była wymieniana z nieznanego źródła? Sprawdzę ja na VirusTotal.

Brakuje logu Addition - załączyłeś FRST podwójnie.

Brakuje logu Shortcut generowanego przez FRST, ale dostarczysz mi go w następnym poście. Rzeczywiście, widoczny jest wpis uruchamiający za każdym startem systemu konsole poleceń. Oprócz tego widoczne są prawdopodobne szczątki adware i oprogramowania. Szybko się z tym uporamy. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:430C6D84 [127] AlternateDataStreams: C:\ProgramData\TEMP:DFC5A2B2 [109] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-3566854760-4099642489-1378842613-1001\...\Winlogon: [shell] C:\Windows\System32\cmd.exe [271872 2017-03-18] (Microsoft Corporation) SearchScopes: HKU\S-1-5-21-3566854760-4099642489-1378842613-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: Firefox-CDFCF4B7528A39A6 - D:\Program Files\Mozilla Firefox\firefox.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Przeprowadź skan za pomocą Hitman Pro. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty proszę zamieścić jako załączniki bądź wkleić ich zawartość na serwis wklej.org

Zrób nowy zestaw raportów FRST.

Dostarcz log FSS oraz raporty FRST.