Miszel03

Zadanie pomyślnie wykonane, a skoro problem naprawiony to kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK.

Ten pendrive jest dalej zainfekowany i jest to moja wina, bo początkowo nie zauważyłem tej infekcji: Startup: C:\Users\Patrioshkaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fxltdfug.exe [2017-01-14] () 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: Startup: C:\Users\Patrioshkaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fxltdfug.exe [2017-01-14] () C:\Users\Patrioshkaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fxltdfug.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Bioshock\Bioshock.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Podłącz zarażonego pendrive i potraktuj go narzędziem USBFix z opcji Clean (jak poprzednio). Dostarcz wynikowy log. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Zastanów się również gdzie mogłeś jeszcze podpiąć tego pendriva.

Wszystkie wykrycia Malwarebytes daj do kasacji. Zrób nowy zestaw logów FRST i podsumuj obecny stan systemu.

Tak myślałem, że uszkodzenie leży właśnie w SoftwareDistrubution. Plik Fixlog.txt został wykonany jako zniekształcony, brak znaków ":" oaz "/" - a to kompletnie dyskwalifikuje Fix. Gdzieś musiało dojść do tego zniekształcenie, tylko pytanie gdzie? Poniższej masz poprawny plik Fixlist.txt - wykonaj go jeszcze raz i dostarcz Fixlog. Fixlist.txt

W raportach brak oznak infekcji, diagnostyka nie wykazała również żadnych uszkodzeń usługi Windows Update. Jedną z metod zastosuje po znachorsku (bez diagnostyki, bo ta w tym przypadku jest bardzo czasochłonna - KLIK), no ale jeśli ona nic nie postukuje to niestety, ale będziemy musieli ją wykonać. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://kipuu.cn/ ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://kipuu.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Andrzej\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://kipuu.cn/ S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas\Instrukcja do gry.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas\README.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas\Zagraj w GTA San Andreas.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przejdź w Tryb awaryjny Windows i ręcznie zmień nazwę folderu C:\Windows\SoftwareDistribution np. dopisując suffix "old" (SoftwareDistribuition.old). 3. Przejdź w Tryb normalny Windows, uruchom Windows Update i szukanie aktualizacji, eśli je znajdzie to od razu możesz je zainstalować. Podaj wyniki. 4. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).

To co wykrył AdwCleaner to tylko resztki po drobne resztki po adware, zresztą ja w raportach również nie widzę infekcji. Tutaj problem leży po innej stronie, a dokładniej po stronie dzisiejszej doby internetu. W przeglądarkach nie jest zainstalowany żaden bloker reklam, a aktualnie to już raczej standard. Polecam zainstalować w przeglądarkach rozszerzenie uBlock Origin. 1. Włącz przywracanie systemu. 2. Detekcje AdwCleaner daj do usuwania. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {B0F7EFE9-105C-4415-9EA1-3D21FC3F2ADD} - \Lenovo\Lenovo Service Bridge\S-1-5-21-1342662903-3082905867-4103419865-1001 -> Brak pliku S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.4.127.0 [X] C:\Users\ja\Downloads\IrfanView-Spolszczenie-12933-dp — skrót .lnk C:\Users\ja\Documents\ELA\KUCHNIA\Nowy Dokument programu Microsoft Office Word.lnk C:\Users\ja\Desktop\KINGSTON (E) — skrót.lnk C:\Users\ja\Desktop\STARY KOMP\ELA\KUCHNIA\Nowy Dokument programu Microsoft Office Word.lnk C:\Users\ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Stacja dysków DVD RW (D).lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).

Brakuje logu FRST.

1. W AdwCleaner usuwasz wszystko oprócz tego: C:\Program Files (x86)\Common Files\SERVICES\ITHEMES.DLL 2. Skasuj ręcznie przez SHIFT + DELETE: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winsvc.vbs 3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

W systemie aktywna infekcja uruchamiana automatycznie, dezynfekcja. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\RunOnce: [DeleteOnReboot] => C:\Users\Jacek\AppData\Local\Temp\DeleteOnReboot.bat [4061 2017-01-22] () C:\Users\Jacek\AppData\Local\Temp\DeleteOnReboot.bat HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Toolbar: HKU\S-1-5-21-2320623359-3011444700-1779620929-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku S1 agyfbwdp; \??\C:\Windows\system32\drivers\agyfbwdp.sys [X] S1 eeCtrl; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [X] S3 EraserUtilRebootDrv; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.5.0.124\Definitions\SDSDefs\20160629.033\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.5.0.124\Definitions\SDSDefs\20160629.033\EX64.SYS [X] ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo (jeśli uda się to w trybie normalnym) przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Widać elementy programu PUP Reimage Repair i innych adware. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {1F10AE8B-5D56-4DE6-AB60-33BE8C1F407F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {261B0D84-7D1A-4FCA-A655-7F2BC0B69A1D} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {93B0C158-A1B7-477C-BA40-6FDB9DBC4A59} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {A40E907C-6442-4AF7-B405-DE66863C7235} - \WPD\SqmUpload_S-1-5-21-446540921-2225081165-4115938140-1002 -> Brak pliku Task: {B7E9EB39-8FF5-4CFB-942F-D7AED556E554} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {BC4A8533-605C-4AC9-BD8B-8A9D87A3D20C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {C01EA02E-0773-47B8-ACC0-EF971975C3A1} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C2BAC789-ABD5-4020-8D5E-807A218C0C79} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D00554A2-1C2D-47FF-9760-8C9455D1944B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D64EF098-5FD2-419B-9CB2-56F31B20757B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D90D7EC6-2BC6-48A6-A568-72310564E988} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F3BB9FC2-CA9E-44D7-A6E7-4C988AE31BBC} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-446540921-2225081165-4115938140-1002 -> DefaultScope {20EEFE83-B525-421E-9B15-7805A3632A2D} URL = SearchScopes: HKU\S-1-5-21-446540921-2225081165-4115938140-1002 -> {20EEFE83-B525-421E-9B15-7805A3632A2D} URL = C:\Users\Janusz\Desktop\TOSHIBA EXT (E) — skrót.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Janusz\AppData\Local\Mozilla C:\Users\Janusz\AppData\Roaming\Mozilla C:\Users\Janusz\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (szczególną uwagę zwróć na rozszerzenia: Nurijol, Highlight Popup oraz Fase Fax - bo są przeze mnie niezweryfikowane). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie wszystko, bo nie przeskanowałeś praktycznie niczego. -Wyniki skanowania- Typ skanowania: Pełne skanowanie Wynik: Anulowano Obiekty przeskanowane: 0 (Nie wykryto zagrożeń) Czas, który upłynął: 0 min, 32 s Powtórz to działanie.

Dostarcz raport FRST (FRST, Addition oraz Shortcut) wraz z FSS.

W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK.

Detekcja UsbFix do usunięcia. Nie, podałem go tylko w celu informacyjnym, nie tylko dla Ciebie, lecz również dla osób, które być może analizują moje tematy ucząc się przy tym. Raczej nie, to są bardzo, bardzo stare modyfikacje adware. Stawiam, że wszystkie te hosty są i tak już od dawna nieaktywne, a sama mapa jest martwa. Ad. 1 Czasem się zdarza, gdy jakiś program się np. wyspie. Nawet ja mam to czasem u siebie w systemie. Ad. 2 Nic dziwnego, to na pewno nie oznaka infekcji. Patrz wyżej. OK, detekcja z UsbFix do kasacji. Zauważyłem, że to się zdarza coraz częściej tu na forum. Spróbuj zostawać się do tej instrukcji: KLIK.

Narzędzia używane do generacji raportów możesz skasować (są często aktualizowane, więc jednorazowe) - KLIK.

Raporty dostarczone, więc mogę teraz coś powiedzieć. W raportach brak oznak infekcji, a problem, z którym się tutaj zgłosiłeś wygląda na kompletnie poza infekcyjny. Temat przenoszę do działu Software.

Tak, myślę, że to będzie najlepszym rozwiązaniem. Odinstaluj i przejdź do wykonywania poniższych zadań. 1. Wyniki z AdwCleaner zweryfikowane. Teraz możesz przejść do opcji dezynfekcji w tym programie. Przeprowadź skan, a po nim kliknij w Oczyść. Zaprezentuj raport z tego działania. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Help and HOW-TO.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Release info.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\SpeedFan.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Uninstall SpeedFan.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Screaming Frog SEO Spider\Screaming Frog SEO Spider.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Screaming Frog SEO Spider\Uninstall Screaming Frog SEO Spider.lnk C:\Users\martyna\Desktop\ML\Xenu.lnk C:\Users\martyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player\FoxTab FLV Player.lnk C:\Users\martyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player\Uninstall FoxTab FLV Player.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Stefan\AppData\Local\Mozilla C:\Users\Stefan\AppData\Roaming\Mozilla C:\Users\Stefan\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\Program Files\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeprowadź pełne skanowanie systemu za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nic dziwnego, że system nie wyrabia, przy tak kolosalnym bałaganie. Mnóstwo infekcji adware / PUP. Jest tu co robić. Akcja. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: RemoveDirectory: C:\Program Files (x86)\Fishhas HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\CurrentVersion\Windows: [Run] C:\Users\KubaDamaszk\AppData\Roaming\datasyst\sys.exe HKLM\...\Providers\grjsiaw4: C:\Program Files (x86)\Qazlegakepy Schedule\local64spl.dll [292352 2017-01-18] () C:\Program Files (x86)\Qazlegakepy Schedule ShellExecuteHooks: Brak nazwy - {CE1B435E-DB95-11E6-9921-64006A5CFC23} - -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms} HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms} R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [583680 2017-01-19] () [brak podpisu cyfrowego] R2 Prijik; C:\Program Files (x86)\Foteingjokiy\Srhcloud.dll [138752 2017-01-18] () [brak podpisu cyfrowego] R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [485376 2017-01-20] () [brak podpisu cyfrowego] S2 ed2kidle; "C:\Program Files (x86)\amuleC2\ed2k.exe" -downloadwhenidle [X] R2 OperaFootballManager; C:\Program Files (x86)\Opera\OperaFootballManager.dll [224256 2017-01-18] () [brak podpisu cyfrowego] R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [124416 2017-01-19] () [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [100352 2017-01-19] () [brak podpisu cyfrowego] S4 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [982016 2017-01-18] () [brak podpisu cyfrowego] C:\ProgramData\\CloudPrinter C:\Program Files (x86)\Firefox C:\Program Files (x86)\Gubed C:\Program Files (x86)\Opera C:\Program Files (x86)\Foteingjokiy C:\ProgramData\WinSAPSvc C:\Program Files (x86)\amuleC2 S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 ZTEusbnet; \SystemRoot\system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; \SystemRoot\system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; \SystemRoot\system32\DRIVERS\ZTEusbser6k.sys [X] 2017-01-18 02:12 - 2017-01-18 02:12 - 7316480 _____ () C:\Users\KubaDamaszk\AppData\Roaming\agent.dat 2017-01-18 02:12 - 2017-01-18 02:12 - 0054272 _____ () C:\Users\KubaDamaszk\AppData\Roaming\ApplicationHosting.dat 2017-01-18 02:12 - 2017-01-18 02:12 - 0070752 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Config.xml 2017-01-18 02:11 - 2017-01-18 02:11 - 0016560 _____ () C:\Users\KubaDamaszk\AppData\Roaming\InstallationConfiguration.xml 2017-01-18 02:11 - 2017-01-18 02:11 - 0140288 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Installer.dat 2017-01-18 02:12 - 2017-01-18 02:11 - 0982016 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Jaytax.exe 2017-01-18 02:12 - 2017-01-18 02:12 - 0072787 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Jaytax.tst 2017-01-18 02:12 - 2017-01-18 02:12 - 0126464 _____ () C:\Users\KubaDamaszk\AppData\Roaming\lobby.dat 2017-01-18 02:12 - 2017-01-18 02:12 - 0018432 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Main.dat 2017-01-18 02:12 - 2017-01-18 02:12 - 0005568 _____ () C:\Users\KubaDamaszk\AppData\Roaming\md.xml 2017-01-18 02:12 - 2017-01-18 02:12 - 0126464 _____ () C:\Users\KubaDamaszk\AppData\Roaming\noah.dat 2017-01-18 02:12 - 2017-01-18 02:12 - 1938531 _____ () C:\Users\KubaDamaszk\AppData\Roaming\OntoStrong.bin 2017-01-18 02:12 - 2017-01-18 02:11 - 0982016 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Stringfan.exe 2017-01-18 02:12 - 2017-01-18 02:12 - 1907662 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Stringfan.tst 2017-01-18 02:12 - 2017-01-18 02:12 - 0032038 _____ () C:\Users\KubaDamaszk\AppData\Roaming\uninstall_temp.ico C:\Users\KubaDamaszk\dzavwkzx.exe C:\Users\KubaDamaszk\oklghvki.exe HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\ChromeHTML: -> C:\Program Files (x86)\Fishhas\Application\chrome.exe (Google Inc.) Task: {EFDCDEFF-4C3B-40ED-B143-C30C81476994} - System32\Tasks\SteamClient => C:\Users\KubaDamaszk\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation) ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Fishhas\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3373c9ebc3a5e445\Chromium.lnk -> C:\Program Files (x86)\SuperBird\superbird.exe (The Superbird Authors) -> --profile-directory=Default ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Classes\regfile: regedit.exe "%1" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\KubaDamaszk\AppData\Local\Mozilla C:\Users\KubaDamaszk\AppData\Roaming\Mozilla C:\Users\KubaDamaszk\AppData\Roaming\Profiles Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Themes /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Obecny profil w przeglądarce Google Chrome (ChromeDefaultData) zidentyfikowany jest jako prefabrykowany (wstawiony przez nowoczesne adware) i szkodliwy. Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj nową osobę / profil, zaloguj się na nią > wejdź ponownie do sekcji Osoby i skasuj wszystkie poprzednie osoby / profile. 3. Ustaw przeglądarkę Google Chrome jako domyślną (ze względu na aktywność infekcji podszywającą się pod nią) - KLIK. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). Fishhas Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK.

Odpowiem za kilka godzin edytując ten post.

Skoro polityki były Twoje to mam je odtworzyć, czy sam sobie poradzisz? OK. Wszystkie usługi są cale, tylko zdezaktywowane. OK. Czysto, brak oznak infekcji.

Raporty zostały wygenerowane przy użyciu przestarzałej wersji narzędzia Farbr Recovery Scan Tool (wersja sprzed kilku miesięcy). Wykonaj nowy zestaw raportów przy użyciu najnowszej wersji FRST.

W systemie widać tylko nałożone polityki grup, lecz możliwe, że są one od Comodo / SpyShelter (jeśli tak jest to je przywrócą). Mam jeszcze pytanie czy zagraniczne adresy ustawione na routerze to celowe ustawienie (KLIK / KLIK)? 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoAutorun] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-3794177849-378319563-855490622-1000\...\Policies\Explorer: [NoAutorun] 1 GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia GroupPolicyScripts: Ograniczenia C:\ProgramData\Microsoft\Windows\GameExplorer\{6E03AA39-71A4-4057-B05E-399B8A1ADA87}\PlayTasks\3\Wykrywanie sprzętu.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{6E03AA39-71A4-4057-B05E-399B8A1ADA87}\PlayTasks\3\Wykrywanie sprzętu.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\4\Zarejestruj grę.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\3\Wykrywanie sprzętu.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\2\ReadMe.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\1\Podręcznik gry.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\0\Uruchom grę Driver Parallel Lines.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\LEGOR\AppData\Local\Mozilla C:\Users\LEGOR\AppData\Roaming\Mozilla C:\Users\LEGOR\AppData\Roaming\Profiles Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Widzę tutaj dziwne wpisy dot. usług zabezpieczających (pierwsze dwa to może być sprawka Comodo lub SpyShelter, lecz co do trzeciego to nie mam pomysłu), zrób raport z Farbar Service Scanner, dodatkowo pobieram również wygląd całych kluczy usług w skrycpie. mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. Sprawdź usługę "winmgmt" lub napraw WMI. 3. Zrób nowy zestaw raportów FRST.

Teraz podepnij pendrvie i zastosuj opcję Clean. Dostarcz raport z tego działania, a następnie sprawdź czy z pendrivem już wszystko w porządku.

Spójrz na instrukcję pod postem (dzięki Rucek za uzupełnienie). Spróbuj te dwie: C:\Program Files\Mozilla Firefox\firefox.exe -p C:\Program Files(x86)\Mozilla Firefox\firefox.exe -p