Miszel03

Wszystkie wykryte zagrożenia możesz usunąć (na szczęście brak detekcji BRONTOKA). Podsumuj obecny stan systemu.

Jedziemy dalej: 1. W AdwCleaner (po skanie) przeprowadź dezynfekcje z opcji Oczyść. Nie musisz dostarczać raportu. 2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Przejrzałem te raporty jeszcze raz, nic w nich nie ma. To nie wygląda na reklamy o podłożu infekcyjnym. U siebie (np.: na serialnet.pl) też mam takie reklamy:

W raportach widocznych sporo infekcji, instalacji adware / PUP. Od razu przechodzimy do działań: 1. Włącz przywracanie systemu. 2. Przez Panel Sterownia odinstaluj: Online.io Application Traffic Exchange Dodatkowo wejdź do tych katalogów: C:\Program Files (x86)\UCBrowser, C:\Program Files\żěŃą i spróbuj uruchomić z nich plik deinstalatora (nazwa to będzie coś typu uninstall.exe). 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-18\...\Run: [] => 0 ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-15] () C:\Program Files\żěŃą HKU\S-1-5-21-4025576816-31018432-1891004371-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrAOqy038KKUuPkN7Jsblii8mKtbeE-Mw-MI4xTQQ0a5MNblKKsmndVX-wbZmf8S94xMm2--tymdeODLPWzkQ7B3sdQZx9HWMVDAFZA3jelIbZ9XRHW0VnVmasn2LyA0nYbB4u6pPudJ71w2SjSBh7OD3goA,,&q={searchTerms} HKU\S-1-5-21-4025576816-31018432-1891004371-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-4025576816-31018432-1891004371-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) 2017-01-15 10:52 - 2017-01-15 11:17 - 00003476 _____ C:\WINDOWS\System32\Tasks\UCBrowserSecureUpdater 2017-01-15 10:52 - 2017-01-15 10:55 - 00000486 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job 2017-01-15 10:52 - 2017-01-15 10:52 - 00003502 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater 2017-01-15 10:52 - 2017-01-15 10:52 - 00001597 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk 2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\Users\user\AppData\Local\UCBrowser 2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\Program Files (x86)\UCBrowser 2017-01-15 10:51 - 2017-01-15 10:51 - 00092832 _____ (WinMount International Inc) C:\WINDOWS\system32\Drivers\KuaiZipDrive.sys 2017-01-15 10:51 - 2017-01-15 10:51 - 00000884 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk 2017-01-15 10:51 - 2017-01-15 10:51 - 00000860 _____ C:\Users\user\Desktop\żěŃą.lnk 2017-01-15 10:51 - 2017-01-15 10:51 - 00000000 ____D C:\Program Files\żěŃą 2017-01-15 10:50 - 2017-01-15 10:50 - 07316480 _____ C:\Users\user\AppData\Roaming\agent.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 01938534 _____ C:\Users\user\AppData\Roaming\Hot-Com.bin 2017-01-15 10:50 - 2017-01-15 10:50 - 01907313 _____ C:\Users\user\AppData\Roaming\Zot-Phase.tst 2017-01-15 10:50 - 2017-01-15 10:50 - 00982016 _____ C:\Users\user\AppData\Roaming\Zot-Phase.exe 2017-01-15 10:50 - 2017-01-15 10:50 - 00982016 _____ C:\Users\user\AppData\Roaming\Tonfan.exe 2017-01-15 10:50 - 2017-01-15 10:50 - 00140288 _____ C:\Users\user\AppData\Roaming\Installer.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 00126464 _____ C:\Users\user\AppData\Roaming\noah.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 00126464 _____ C:\Users\user\AppData\Roaming\lobby.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 00072787 _____ C:\Users\user\AppData\Roaming\Tonfan.tst 2017-01-15 10:50 - 2017-01-15 10:50 - 00070752 _____ C:\Users\user\AppData\Roaming\Config.xml 2017-01-15 10:50 - 2017-01-15 10:50 - 00054272 _____ C:\Users\user\AppData\Roaming\ApplicationHosting.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 00018432 _____ C:\Users\user\AppData\Roaming\Main.dat 2017-01-15 10:50 - 2017-01-15 10:50 - 00016560 _____ C:\Users\user\AppData\Roaming\InstallationConfiguration.xml 2017-01-15 10:50 - 2017-01-15 10:50 - 00005568 _____ C:\Users\user\AppData\Roaming\md.xml Task: {202D255C-1CFA-4768-BD03-8C2AB63918B1} - System32\Tasks\psv_Dongron => /c regedit.exe /s "C:\ProgramData\Hotfresh\Stronglight.reg" & del "C:\ProgramData\Hotfresh\Stronglight.reg" & SCHTASKS /Delete /TN "psv_Dongron" /F Task: {3B50FBD6-82F1-48E6-9A55-BA186D726C38} - System32\Tasks\psv_Dondincom => /c regedit.exe /s "C:\ProgramData\Hotfresh\Black-Phase.reg" & del "C:\ProgramData\Hotfresh\Black-Phase.reg" & SCHTASKS /Delete /TN "psv_Dondincom" /F Task: {3DE937E6-1DDE-4714-AE2B-CA2B1EAC4ED5} - System32\Tasks\psv_RunTojob => /c regedit.exe /s "C:\ProgramData\Hotfresh\Freshtolight.reg" & del "C:\ProgramData\Hotfresh\Freshtolight.reg" & SCHTASKS /Delete /TN "psv_RunTojob" /F Task: {42404135-7397-4B1F-8680-1CBD913C35A0} - System32\Tasks\psv_Goldentone => /c regedit.exe /s "C:\ProgramData\Hotfresh\Cof-Touch.reg" & del "C:\ProgramData\Hotfresh\Cof-Touch.reg" & SCHTASKS /Delete /TN "psv_Goldentone" /F Task: {5448DC11-3EF6-4CB8-BA7D-AB8ED96461BD} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-11] (UCWeb Inc) Task: {5803BD9B-9037-47DA-A2C5-AD0CBD396A6F} - System32\Tasks\psv_Canity => /c regedit.exe /s "C:\ProgramData\Hotfresh\Fresh-Zap.reg" & del "C:\ProgramData\Hotfresh\Fresh-Zap.reg" & SCHTASKS /Delete /TN "psv_Canity" /F Task: {78AF8A6E-0E7A-487C-BA6F-BE9CC6AA1D9B} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-15] (UC Web Inc.) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\ProgramData\Hotfresh EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Oba pliki, które były podjęte analizie skasuj ręcznie. Odpowiedz na pkt. 3 mojego poprzedniego postu.

Opis problemu z Twojej strony pokrywa się w dużej mierze z tym co ja widzę w raportach, więc opis stanu systemu sobie odpuszczę. Przechodzimy do działań (apropos: czy ustawienie amerykańskich adresów na routerze to Twoje celowe ustawienie? [KLIK / KLIK]). 1. Przez panel sterowania sugeruję odinstalować program Spybot - Search & Destroy, bo to program stary i nierozwijany. Nie zapewnia ochrony przed zagrożeniami z dzisiejszej doby internetu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-388023396-1302235654-2053244740-1000\...\Run: [AdobeBridge] => [X] ShellExecuteHooks: Brak nazwy - {207C127A-D3FB-11E6-8819-64006A5CFC35} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> Brak pliku HKU\S-1-5-21-388023396-1302235654-2053244740-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCXgX_y1Xh2d2GWvpSyv1wJfXlldhxI8guvGTZT_AiFeWNn49vF3wQytfXi89v0zLhhQ6ptmi_oP2jBSTBupCEeOixehwF4cejx7eRQe5EqGLF0Gm3NS8oUSrpddaN7LCl4_uVvle1GfgI4jkrZjfvQkNk6J&q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = S2 Atizotionstesa; C:\Program Files\Gouther\RgtPrv.dll [X] S2 AxAutoMntSrv; C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [X] S2 StarWindServiceAE; C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X] U3 a0gcejsg; Brak ImagePath U3 ugldqpog; \??\C:\Users\LADYCS~1\AppData\Local\Temp\ugldqpog.sys [X] Task: {A15B77D7-62B8-48E0-958A-6ECE31CFEC59} - System32\Tasks\3a6y8r7 => Rundll32.exe "C:\ProgramData\3a6y8r7\3a6y8r7.dll",ayreb Task: {D86D4A8E-5D42-4A21-BFEC-02D7B78E3B6A} - System32\Tasks\26g79q14j21 => Rundll32.exe "C:\ProgramData\26g79q14j21\26g79q14j21.dll",gqjiez C:\ProgramData\3a6y8r7 C:\ProgramData\26g79q14j21 WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\ladycstar\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ladycstar\AppData\Local\Mozilla C:\Users\ladycstar\AppData\Roaming\Mozilla C:\Users\ladycstar\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Zapomniałbym: narzędzia używane do generacji raportów możesz skasować - KLIK. Kończymy.

Prosiłem tylko o przeprowadzenia skanowania, a nie dezynfekcji w programie AdwCleaner. To dobre narzędzie, ale trzeba z nim uważać. Niech już będzie. Generalnie wygląda to już o wiele lepiej, teraz poproszę o przeprowadzenie całościowego skanowania systemu za pomocą narzędzia Malwarebytes AntiMalware (widzę tutaj elementy infekcji BRONTOK). Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport.

Powtórz działanie jeszcze raz, tym razem całkowicie wyłącz oprogramowanie AVG (to fałszywy alarm).

Wszystkie wyniki nadają się do kasacji. Podsumuj obecny stan systemu.

W raportach brak oznak infekcji, problem spowodowany jest prawdopodobnie ostatnimi wydarzeniami (czytaj dół posta). Forma przeszła jest nieadekwatna. Yahoo ma nadal poważne problemy z bezpieczeństwem kont użytkowników (i to nie jest pierwsza taka sytuacja w ich historii). Wyciekło przeszło miliard danych kont - to największa taka kradzież w historii (KLIK). Stanowczo sugeruję kompleksową kasacja konta usług Yahoo i założenie sobie poczty gdzie indziej. Polecam rozwiązanie Gmail. Znajomym poleć to samo, ewentualnie "każ" im zablokować otrzymywanie wiadomości od owego adresu. P.S: Skasuj: C:\ProgramData\fontcacheev1.dat

Rozumiem, ale raport Windows Defender masz na pewno w zakładce Historia. 1. W HitmanPro usuwasz wszystkie detekcje (z wyjątkiem FRST, więc pomijasz całą sekcje Suspicious files). Raportu z dezynfekcji dostarczać nie musisz. 2. Sprawdź poniższe pliki w usłudze VirusTotal.com i dostarcz link prowadzący do analizy. C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\SECOH-QAD.dll 3. Poobserwuj czy komunikaty wyskakują nadal

OK, jeśli będzie występował na dal to temat przeniosę do działu Sieci.

Korzystasz z oprogramowania SpyHunter, a to delikatnie mówiąc program o bardzo wątpliwej reputacji. Cytuję z tematu picasso: Jeśli Ty zechcesz się go pozbyć to odinstalujesz go z poziomu panelu sterowania (jeśli będę problemy, a mogą być bo instalacja wygląda na uszkodzoną to zastosujesz program SpyHunterCleaner). Żeby było jasne: to Twoja decyzja, ja nic nie sugeruję. System jest zainfekowany przez nowoczesne (jak i nie) adware. Widzę również elementy infekcji BRONTOK. Od razu przechodzimy do działań. 1. Wejdź do poniżej wymiennych katalogów i spróbuj z ich poziomu uruchomić deinstalator (pliku uninstall.exe). C:\Program Files (x86)\UCBrowser C:\Program Files\żěŃą 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellExecuteHooks: Brak nazwy - {C5E9BD50-D3FB-11E6-9B39-64006A5CFC35} - C:\Users\Pryta\AppData\Roaming\Jaesywacuk\Ratether.dll -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku BootExecute: autocheck autochk * sh4native Sh4Removal GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X] S4 MSSQLServerADHelper; "C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] U0 aswVmm; Brak ImagePath S2 ATE_PROCMON; \??\C:\Program Files (x86)\Anti Trojan Elite\ATEPMon.sys [X] S0 b06bdrv; System32\drivers\bxvbda.sys [X] U3 idsvc; Brak ImagePath 2017-01-13 16:14 - 2017-01-13 16:14 - 0140288 _____ () C:\Users\Pryta\AppData\Roaming\Installer.dat 2017-01-13 16:15 - 2017-01-13 16:15 - 0018432 _____ () C:\Users\Pryta\AppData\Roaming\Main.dat Task: {158FAEEE-3658-4E40-89DB-EBB39C21513B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {4031543A-16BF-4565-932A-42347CA60E66} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {48E12151-4E60-47CE-9764-351965FFD1B1} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {5726270D-24B0-4EB7-8234-FDC5DA049DD7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {60247F35-FA52-4E85-BEFE-E7BF4696908B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {7656A53C-9444-40F1-B721-9E8F481A5140} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {9075CEED-D6EC-4473-A438-45165AA3B4E6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {91D85B07-ED99-43A4-8784-6360ACDAE4A6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {95915DCA-D28E-4F09-BAC9-BBA12C283471} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {9A07D37A-3BEF-4687-A824-2C314BBFADD8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {AF468194-9394-455D-B97E-56E6C88B03C5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {B9345462-2825-4EF3-805C-18B53E804B87} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BB10524F-1AD5-4B75-8142-B23834CF447C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {C7BC5D33-2389-48AD-A657-85A3E6426143} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D980B7EA-DC49-4E88-BA51-92D884221E14} - System32\Tasks\PrytaPauperismDenaturationV2 => Rundll32.exe OstentationPyrethrin.dll,main 7 1 Task: {F3497017-D3AA-429D-971E-E7F04D1C3238} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\AirMirror (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=macmgoeeggnlnmpiojbcniblabkdjphe ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Cut the Rope (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=jfbadlndcminbkfojhlimnkgaackjmdo ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=knipolnnllmklapflnccelgolnpehhpl ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Piotrek18 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Piotrek - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\SpyHunter4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\Óäŕëčňü SpyHunter4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2005\Configuration Tools\SQL Server Error and Usage Reporting.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2005\Configuration Tools\SQL Server Surface Area Configuration.lnk C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Program Files (x86)\UCBrowser C:\Program Files\żěŃą EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Profil w przeglądarce Google Chrome ChromeDefaultData jest zidentyfikowany już od dawna jako prefabrykowana modyfikacja adware. Działania: kasacja profilu, założenie czystego. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. 4. Zrób raport z narzędzia AdwCleaner z opcji Skanuj (chcę sprawdzić czy na pewno już nic nie widzi). Dostarcz ten raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, w spoilerze głównie sprzątanie resztek po adware / PUP.

Wszystkie (a to dziwne, bo przecież AdwCleaner je wywalił).

HitmanPro nie wykrył żadnej infekcji, w FRST również (jak już wcześniej wspomniałem) żadnej nie widzę. Nie mam pomysłu na to spróbuj zresetować router i poobserwuj.

Wszystko wygląda już o wiele lepiej. Co do incydentu z pocztą to dobrze, że o tym napisałeś - sprawdzę to. 1. Skasuj: C:\Users\Gosia\AppData\Roaming\KuaiZip 2. Przeskanuj całościowo system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Zagrożenia, które zostały wykryte przez Windows Defender usuń. Po tym działaniu dostarcz screen z zakładki Historia (z widokiem na ścieżki zagrożeń). Dostarcz również raporty ze skanowania programami Malwarebytes oraz AdwCleaner (narzędzie TDSSKiller użyte bezpodstawnie, bo przecież tutaj nie ma żadnej infekcji rootkit). W systemie faktycznie widoczne infekcje, bez zwlekania przechodzimy do działań. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nhook.exe U3 idsvc; Brak ImagePath S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] S2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-06-03] () [brak podpisu cyfrowego] 2016-07-09 10:43 - 2016-07-09 10:43 - 6870016 _____ () C:\Users\Xantyr\AppData\Roaming\agent.dat 2016-07-09 10:43 - 2016-07-09 10:43 - 0128512 _____ () C:\Users\Xantyr\AppData\Roaming\Installer.dat 2016-07-09 10:43 - 2016-07-09 10:43 - 0018432 _____ () C:\Users\Xantyr\AppData\Roaming\Main.dat C:\Windows\Tasks\{2E72A83C-59C0-E2BC-FD74-11C89002AE7F}.job Task: {2ACEFA9A-4C53-43F0-A9CA-9CCBD2A04D74} - \AutoPico Daily Restart -> Brak pliku Task: {306B8F2A-7AC7-4824-9D7D-95F01617651F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {401F9A89-2B52-48DD-8130-0D5ADD372AD3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {4F62D0A4-811C-4219-8149-B86A0CC0784E} - System32\Tasks\{2E72A83C-59C0-E2BC-FD74-11C89002AE7F} => C:\Users\Xantyr\AppData\Roaming\{2E72A~1\PRICEF~1.EXE Task: {52985967-A27A-4ABC-8FCB-F5BDA1819A91} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {5C476A51-9814-472F-BFBA-4E989655883C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {A1FC7072-9562-42B0-9309-5F050799CDB0} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {BFE1742A-A34A-4FDE-831E-C0F3B930E6CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D9BA2E95-CBA9-43DB-AB47-23FCEF85F444} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {DD5C6861-9413-44C4-BE16-AECD6D731810} - System32\Tasks\XantyrBicepsHymnedV2 => Rundll32.exe ScuttledIrrigating.dll,main 7 1 Task: {DE51687B-57F5-4C5C-A22E-515A9127D979} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {EA072DB7-1184-4A9C-9425-FEC7F618D78C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku FirewallRules: [{517819FA-5458-4513-940B-2B6B8F64D707}] => C:\Windows\KMS-R@1n.exe FirewallRules: [{1857A4D9-7D98-4161-94B5-1633353533FE}] => C:\Windows\KMS-R@1n.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk C:\Users\Xantyr\Desktop\Nowy folder\JDownloader 2.lnk C:\Users\Xantyr\Desktop\Nowy folder\LOL Recorder.lnk C:\Users\Xantyr\Desktop\Nowy folder\rafon — skrót.lnk C:\Users\Xantyr\Desktop\Nowy folder\Terraria.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeprowadź skanowanie za pomocą programu HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, w spoilerze poprawki.

W raportach brak oznak infekcji, system jest w dobrej kondycji. Występowanie reklam w tej dobie internetu jest niestety, zwykłą codziennością, coraz trudniej to w całości blokować. W przeglądarkach proponuje zmienić bloker reklam z AdBlock na uBlock Origin, ten drugi jest wg mnie znacznie lepszy.

Nie dołączyłeś raportu wynikowego ze skanu AdwCleaner (patrz pkt. 2 mojego pierwszego posta).

OK.

1. Przeprowadź jeszcze raz skanowanie w programie AdwCleaner, ale po nim wybierz opcję Oczyść. Dostarcz raport z tego działania. 2. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{A0CDF8C2-1F24-48E7-999B-BE0B389EC666}: [NameServer] 188.120.241.135,8.8.8.8 NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {20B3B3F3-AEF9-4A29-BC0A-6D80579DEE45} - System32\Tasks\Havuphatecercult Verfier => C:\Program Files (x86)\Clutiph\befeck.exe C:\Program Files (x86)\Clutiph CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK, mapa domem wywalona, więc będziemy kończyć. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz wyczyść punkty przywracania systemu (aby przez przypadek nie odtworzyć szkodnika) - KLIK / KLIK.