Miszel03

Odpowiem za kilka godzin edytując ten post.

Skoro polityki były Twoje to mam je odtworzyć, czy sam sobie poradzisz? OK. Wszystkie usługi są cale, tylko zdezaktywowane. OK. Czysto, brak oznak infekcji.

Raporty zostały wygenerowane przy użyciu przestarzałej wersji narzędzia Farbr Recovery Scan Tool (wersja sprzed kilku miesięcy). Wykonaj nowy zestaw raportów przy użyciu najnowszej wersji FRST.

W systemie widać tylko nałożone polityki grup, lecz możliwe, że są one od Comodo / SpyShelter (jeśli tak jest to je przywrócą). Mam jeszcze pytanie czy zagraniczne adresy ustawione na routerze to celowe ustawienie (KLIK / KLIK)? 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoAutorun] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-3794177849-378319563-855490622-1000\...\Policies\Explorer: [NoAutorun] 1 GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia GroupPolicyScripts: Ograniczenia C:\ProgramData\Microsoft\Windows\GameExplorer\{6E03AA39-71A4-4057-B05E-399B8A1ADA87}\PlayTasks\3\Wykrywanie sprzętu.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{6E03AA39-71A4-4057-B05E-399B8A1ADA87}\PlayTasks\3\Wykrywanie sprzętu.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\4\Zarejestruj grę.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\3\Wykrywanie sprzętu.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\2\ReadMe.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\1\Podręcznik gry.lnk C:\Users\LEGOR\AppData\Local\Microsoft\Windows\GameExplorer\{3F5F9E33-A3DF-4E15-B117-185B60FDF67B}\PlayTasks\0\Uruchom grę Driver Parallel Lines.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\LEGOR\AppData\Local\Mozilla C:\Users\LEGOR\AppData\Roaming\Mozilla C:\Users\LEGOR\AppData\Roaming\Profiles Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Widzę tutaj dziwne wpisy dot. usług zabezpieczających (pierwsze dwa to może być sprawka Comodo lub SpyShelter, lecz co do trzeciego to nie mam pomysłu), zrób raport z Farbar Service Scanner, dodatkowo pobieram również wygląd całych kluczy usług w skrycpie. mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. Sprawdź usługę "winmgmt" lub napraw WMI. 3. Zrób nowy zestaw raportów FRST.

Teraz podepnij pendrvie i zastosuj opcję Clean. Dostarcz raport z tego działania, a następnie sprawdź czy z pendrivem już wszystko w porządku.

Spójrz na instrukcję pod postem (dzięki Rucek za uzupełnienie). Spróbuj te dwie: C:\Program Files\Mozilla Firefox\firefox.exe -p C:\Program Files(x86)\Mozilla Firefox\firefox.exe -p

OK.

1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {313BFD36-87C9-4796-8038-2B41374C154D} - System32\Tasks\{8ABE5302-AE42-4267-9401-FC754BAF969C} => pcalua.exe -a C:\Users\Paulinka\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor C:\Users\Paulinka\AppData\Roaming\istartsurf Task: {F714C547-A9C6-4918-A005-6FF236E0310D} - \Readaleanernert Client -> Brak pliku S2 MirillisProgesplerherle; rundll32.exe "C:\Program Files (x86)\Progesplerherle\MirillisProgesplerherle.dll",soeasy [X] S2 Phughtfejk; C:\Program Files (x86)\Progesplerherle\PlmCache.dll [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zainstaluj jakąś przeglądarkę, polecam Google Chrome. 3. Kompleksowo sprawdź działanie systemu.

Nie, na tym już skończymy jeśli chodzi o ten dział. Teraz temat jedzie do działu Windows 7 gdzie pomogą rozwiązać Ci problem dot. Adobe Flash Player.

OK, temat jedzie do działu Windows 10 - tam Ci jeszcze pomogą ws. czarnego ekranu. Narzędzia używane podczas dezynfekcji możesz skasować - KLIK.

Rucek jak masz dziś jeszcze czas, to bez problemy dziś to załatwimy. 1. Pomyślnie wykonane. 2. Wynik zagrożeń nie powinien dziwić, bo MBAM liczy każdy plik z zarażonego folderu jako osobne zagrożenie. Wszystkie wyniki do kasacji. 3. Jawne infekcje (już ostatnie), daje do kasacji. 4. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: R2 IVTCorporationLGElectronics; C:\Program Files (x86)\IVT Corporation\IVTCorporationLGElectronics.dll [224256 2017-01-16] () [brak podpisu cyfrowego] R2 KLiteCodecPackBagiph; C:\Program Files (x86)\Bagiph\KLiteCodecPackBagiph.dll [224256 2017-01-16] () [brak podpisu cyfrowego] RemoveDirectory: C:\Program Files (x86)\IVT Corporation RemoveDirectory: C:\Program Files (x86)\Bagiph RemoveDirectory: C:\Program Files\NLK2992XLN 2017-01-18 21:59 - 2017-01-18 21:59 - 00000000 ____D C:\Program Files (x86)\pccleanplus 2017-01-18 21:39 - 2017-01-18 21:39 - 00000000 ____D C:\Program Files (x86)\75amba5r 2017-01-16 18:44 - 2017-01-20 15:36 - 00000000 ____D C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692 2017-01-16 18:50 - 2017-01-16 18:50 - 00000000 ____D C:\Program Files\IWKFISC3A2 2017-01-16 18:46 - 2017-01-16 18:46 - 00000000 ____D C:\Program Files\HJ4VW0KY28 2017-01-17 21:54 - 2017-01-18 22:08 - 00000000 ____D C:\Program Files (x86)\Progesplerherle 2017-01-16 20:11 - 2017-01-17 21:16 - 00000000 ____D C:\Program Files (x86)\Toheshphfeied 2017-01-17 21:54 - 2017-01-17 22:53 - 00000000 ____D C:\Users\Paulinka\AppData\Roaming\Ptiingvetertain 2017-01-17 21:54 - 2017-01-17 21:56 - 00000000 ____D C:\Users\Paulinka\AppData\Local\Praqtplenoing 2017-01-16 20:11 - 2017-01-16 20:15 - 00000000 ____D C:\Users\Paulinka\AppData\Local\Reitssetsh 2017-01-16 18:59 - 2017-01-16 18:59 - 00000000 ____D C:\Users\Paulinka\AppData\Local\UCBrowser 2017-01-16 18:42 - 2017-01-16 18:44 - 00000000 ____D C:\Users\Paulinka\AppData\Local\Vuwoch 2017-01-16 18:45 - 2017-01-16 18:45 - 00140288 _____ C:\Users\Paulinka\AppData\Roaming\Installer.dat 2017-01-16 18:47 - 2017-01-16 18:48 - 0018432 _____ () C:\Users\Paulinka\AppData\Roaming\Main.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Przeskanuj system za pomocą BitDefender Adware Removal Tool. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To jedno, ale czy problem z wyłączeniem systemu również ustąpił?

Przeoczyłem - do kasacji.

System jest mocno zainfekowany przez adware, PUP (modyfikacja proxy, fałszywe oprogramowanie zabezpieczające, blokady typu Debugger itd.). Od razu przechodzimy do działań, nie ma na co czekać. 1. Przez panel sterowania odinstaluj: System Optimizer 2013 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0E60C210-BF87-4E6E-A630-0D0D0B4FFF43} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {DC00EBA3-6ADF-40C3-9322-8273BB873C86} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {E10771D8-65B2-44F1-A523-CEF73FDD943F} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{CFD7EA7C-D469-4BEB-8EE0-DE5FB1D30EAE}.exe HKLM-x32\...\Run: [] => [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe AutoConfigURL: [s-1-5-21-2411782107-2092081716-956027298-1000] => hxxp://nonestops.net/wpad.dat?b6e02ac1091b185a4c8863cec314b76a19056679 ManualProxies: 0hxxp://nonestops.net/wpad.dat?b6e02ac1091b185a4c8863cec314b76a19056679 HKU\S-1-5-21-2411782107-2092081716-956027298-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntrId=7c4e86d4000000000000889ffab43a1b URLSearchHook: HKU\S-1-5-21-2411782107-2092081716-956027298-1000 - (Brak nazwy) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - Brak pliku URLSearchHook: HKU\S-1-5-21-2411782107-2092081716-956027298-1000 - (Brak nazwy) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-2411782107-2092081716-956027298-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Brak nazwy -> {3d86a75b-cb6b-4764-885d-ca6336f04ba2} -> Brak pliku BHO-x32: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku BHO-x32: Brak nazwy -> {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} -> Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - Brak pliku Toolbar: HKU\S-1-5-21-2411782107-2092081716-956027298-1000 -> Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - Brak pliku Toolbar: HKU\S-1-5-21-2411782107-2092081716-956027298-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku S3 AVG Security Toolbar Service; C:\Program Files (x86)\AVG\AVG10\Toolbar\ToolbarBroker.exe [X] S3 dbx; system32\DRIVERS\dbx.sys [X] RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz przeglądarkę Firefox: kliknij klawisz z flagą Windows + R > wklej komendę C:\Program files (x86)\Mozilla Firefox\firefox.exe- p > załóż nowy profil, stare wszystkie skasuj. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. W AdwCleaner wszystkie wyniki niespokrewnione z Auslogics do usunięcia, czyli tylko te: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [WinSAPSvc] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [ArcherGroupEx] 2. Podsumuj stan systemu.

Wygląda to już naprawdę lepiej. Zostały do usunięcia tylko szczątki, głównie foldery po adware / PUP. Nie będę tego wywalał ręcznie na razie, bo nie jestem pewien co do niektórych pozycji. 1. Wyniki z AdwCleaner zweryfikowane - teraz powtórz skan, a po nim kliknij w Oczyść. 2. Całościowo przeskanuj systemu za pomocą Malwarebytes AntiMalware (jest zainstalowany na dysku. Pamiętaj, aby przed skanem go zaktualizować). Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 3. Sprawdź poniższe pliki w usłudze VirusTotal.com i dostarcz link do analizy. C:\Program Files\NLK2992XLN\H01A1CSGG.exe C:\Program Files (x86)\IVT Corporation\IVTCorporationLGElectronics.dll C:\Program Files (x86)\Bagiph\KLiteCodecPackBagiph.dll 4. Zrób nowy zestaw raportów FRST.

Posty łączę, sprzątam temat. Raporty dołączone, możemy zaczynać. Ograniczam się właściwe tylko do usunięcia szczątek po adware / PUP. Aktualizacja Adobe Flash Player to raczej problem nie infekcyjny, więc temat po działaniach oczyszczających zwiedzi jeszcze dział Windows 7. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-233006258-18527085-3623643150-1000_Classes\CLSID\{6E3D7445-35DF-A880-1876-93C8202C536E}\InprocServer32 -> Brak ścieżki do pliku HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = C:\Users\Agata\cc_20140917_134813.reg C:\Users\Agata\Documents\Corel\Próbki CorelDRAW X5\target.lnk C:\Users\Agata\Documents\Corel\Próbki Corel PHOTO-PAINT X5\target.lnk C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\3592db6383e50090f757b95219486b37.jpg.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Ciasteczka przez maszynkę.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Dysk wymienny (F).LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Dysk wymienny (G).LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\fixitpc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Frau Saime.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Głowa.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Mürbeteig Fuki.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\rolladen rech.jpg.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Tylko Ty.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Wd0000000.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\zajac Głowa.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\zajac szyd.jpg.LNK Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Przepraszam za opóźnienia. System jest mocno zainfekowany przez adware (i to teraz staję się priorytetem), więc najpierw zaczynamy od deinstalacji programów adware / PUP i wstępnego skanowania za pomocą AdwCeaner. 1. Włącz funkcję przywracania systemu. 2. Przez panel sterownia odinstaluj: ContentPush Hola™ 1.16.446 - Better Internet 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy zestaw raport FRST.

Raport Addition jest ucięty. Wygeneruj nowy.

System nie jest zainfekowany, już po screenie widzę z czym mamy do czynienia. Podepnij zarażonego pendrive, następnie pobierz narzędzie USBFix i wykonaj raport z opcji Listing oraz Research. Raport zaprezentuj na forum.

Przeglądarka Google Chrome nie jest nawet zainstalowana, a FireFox jest albo uszkodzony, albo martwy. Usuwam. Pod koniec dezynfekcji pokieruje, aby zainstalować nową. W systemie kolosalny bałagan. Szkodliwe proxy, nowoczesne adware, infekcje blokujące pliki Kasperskiego i wiele wiele więcej. Akcja. 1. Wejdź do wymienionych katalogów: C:\Program Files (x86)\UCBrowser, C:\Program Files\żěŃą i z ich poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files HKU\S-1-5-21-3453456924-2562164534-3920574783-1000\...\Run: [Publisher] => C:\Users\Paulinka\AppData\Local\Temp\{c1b-05-5a-1648a-b04ca-d703-fa6d7}\AyI#xaqugf.exe -r1_5 -r2_1 ShellExecuteHooks: Brak nazwy - {41B7E29A-DB94-11E6-A96D-64006A5CFC23} - C:\Users\Paulinka\AppData\Roaming\Clorertyckidering\Ditokphesele.dll -> Brak pliku ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia AutoConfigURL: [s-1-5-21-3453456924-2562164534-3920574783-1000] => hxxp://noblockweb.org/wpad.dat?f7da5924bd1bc45a25a5f2a000c7ed5123833781 ManualProxies: 0hxxp://noblockweb.org/wpad.dat?f7da5924bd1bc45a25a5f2a000c7ed5123833781 SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku R2 gemeloki; C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692\proD09B.tmp [230400 2017-01-19] () [brak podpisu cyfrowego] R2 huveryky; C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692\kns406B.tmp [433664 2017-01-20] () [brak podpisu cyfrowego] C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692 S2 Grimaght; C:\Program Files (x86)\Bagiph\LervetainUpd.dll [X] R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) C:\Program Files (x86)\UCBrowser S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTCOM; system32\DRIVERS\btcomport.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] CustomCLSID: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Paulinka\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku Task: {6E0641BD-93B4-489B-8440-B071BA12DED4} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-16] (UC Web Inc.) Task: {C99FB0B3-31BF-4EF2-B18A-C4279DDD3FE9} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-16] (UCWeb Inc) Task: {E36A39D7-1BD2-43F3-A143-E07046D5F3B6} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-16] (UCWeb Inc) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652] AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\Uninstall the Matroska Pack.lnk C:\Users\Paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Paulinka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk C:\Users\Paulinka\AppData\Local\Microsoft\Windows\GameExplorer\{D5914A13-E384-472D-AE68-8CE0EE647A0F}\PlayTasks\0\Zagraj.lnk C:\Users\Paulinka\AppData\Local\Microsoft\Windows\GameExplorer\{9F91906D-CD32-4C1B-8D44-2F6EB4F4892F}\PlayTasks\0\Wiedźmin Edycja Rozszerzona.lnk C:\Users\Paulinka\AppData\Local\Microsoft\Windows\GameExplorer\{1B6B1BB2-6EA4-402F-971D-702D76E94B11}\PlayTasks\0\Play.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Paulinka\AppData\Local\Mozilla C:\Users\Paulinka\AppData\Roaming\Mozilla C:\Users\Paulinka\AppData\Roaming\Profiles Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To raczej problem kompletnie poza infekcyjnych, więc po potwierdzeniu zniknięcia komunikatu temat jedzie do działu Windows 10. W raportach brak oznak aktywnej infekcji (choć wpis, o którym informuje komunikat należy do infekcji uruchamianej via Harmonogram zadań i ja już to (martwe) zadanie widzę: WindowsUpda2ta), po poniższych działaniach komunikat zniknie. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {4476400E-FB39-4637-8995-141EF3ABB4FA} - \WindowsUpda2ta -> Brak pliku Task: {ADA5A2DF-AED7-4EDA-B195-7CA638813E5A} - \WPD\SqmUpload_S-1-5-21-3692091214-3129702816-543090555-1001 -> Brak pliku Task: {CC891835-3D87-4C96-82F4-01E7D8F0F381} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Problem Report Wizard\Run AMD Problem Report Wizard.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\acer\AppData\Local\Mozilla C:\Users\acer\AppData\Roaming\Mozilla C:\Users\acer\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).

1. Przez panel sterowania odinstaluj: ByteFence Anti-Malware Następnie przejdź do wymienionych katalogów: C:\Program Files (x86)\UCBrowser, C:\Program Files (x86)\WinArcher, C:\Program Files (x86)\Gubed, C:\ProgramData\WinSAPSvc i spróbuj z ich poziomu uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\...\Providers\kkez28a6: C:\Program Files (x86)\Phikaty Nodifier\local64spl.dll [292352 2017-01-16] () C:\Program Files (x86)\Phikaty Nodifier ShellExecuteHooks: No Name - {41B7E29A-DB94-11E6-A96D-64006A5CFC23} - -> No File ShellExecuteHooks: No Name - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [583680 2017-01-19] () [File not signed] R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [417280 2017-01-19] () [File not signed] R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [124416 2017-01-19] () [File not signed] R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [509440 2017-01-19] () [File not signed] C:\Program Files (x86)\WinArcher C:\Program Files (x86)\Gubed C:\ProgramData\WinSAPSvc U0 aswVmm; no ImagePath S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] U3 kxldapow; \??\C:\Windows\TEMP\kxldapow.sys [X] Task: {9E7F1F9F-F51A-4D10-8D34-559C35B38501} - \WPD\SqmUpload_S-1-5-21-1787938467-411497002-959167669-1001 -> No File Task: {C89EB585-F412-4E54-A7AF-DE78E63D567C} - \Optimize Start Menu Cache Files-S-1-5-21-1787938467-411497002-959167669-1001 -> No File Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files (x86)\UCBrowser WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Piotr\AppData\Local\Mozilla C:\Users\Piotr\AppData\Roaming\Mozilla C:\Users\Piotr\AppData\Roaming\Profiles C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Sprawdź poniższy plik w usłudze VirusTotal.com i dostarcz link do analizy pliku. C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winsvc.vbs

To dziwnie wygląda i mam obawy co do tego, że nie wywaliliśmy wszystkiego związanego z chińskimi programami. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). KuaiZip;żěŃą W obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum, następnie przeszukasz pliki tak samo, z tym, że wkleisz: KuaiZip*.*;żěŃą*.* i klikniesz w Szukaj Plików (Search Files). J/w dostarczasz raport SearchFiles.

W takim razie powtórz wyszukiwania również dla tego wyniku. Robisz to samo ale w przypadku wyszukiwania w rejestrze wklej: żěŃą a w przypadku wyszukiwania plików wklej: żěŃą*.*