Miszel03

Jak oceniasz obecną sytuację?

Cookie i Sweetpack do kasacji, a IThemes.dll do kwarantanny.

W HitmanPro poddaj kwarantannie wszystkie wykrycia z wyjątkiem poniższych: C:\Program Files\KMSpico\AutoPico.exe C:\Program Files\KMSpico\Service_KMS.exe C:\Users\Mateusz\Desktop\Logi\frst\nowe\FRST64.exe

W raportach brak oznak infekcji, miej na uwadze, że te reklamy mogę nie mieć podłoża infekcyjnego. Nawet u siebie pomimo zainstalowanych dwóch blokerów reklam, czasem mi wyskakują reklamy w osobnych oknach. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\user\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku GroupPolicyScripts: Ograniczenia U3 kwldapow; \??\C:\Users\user\AppData\Local\Temp\kwldapow.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).

Wygląda to już o wiele lepiej. Usługa Themes naprawiona, a adware usunięte. 1. Uruchom AdwCleaner i jeszcze raz przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 2. Zrób skan za pomocą Hitman Pro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport.

Są tylko szczątki po infekcjach, ale na wszelki wypadek przeprowadzimy skanowanie bardzo dobrym skanerem HitmanPro. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: C:\Users\User\Desktop\d7II HKU\S-1-5-19\...\Policies\Explorer: [NoViewContextMenu] 0 HKU\S-1-5-20\...\Policies\Explorer: [NoViewContextMenu] 0 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2674393007-2980067062-2201329540-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-2674393007-2980067062-2201329540-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 VGPU; System32\drivers\rdvgkmd.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log oraz plik Fixlog.txt. Zrób też nowy zestaw raportów. Jeśli nic nie zostanie wykryte to z mojej strony kończymy - zastosuj narzędzie DelFix, w celu usunięcia narzędzi diagnostyczno / dezynfekcyjnych.

Uruchomiony przez Mateusz (administrator) MATEUSZPC (28-12-2016 10:59:19) Wygeneruj nowe logi, nie dostarczaj starych.

W systemie niewątpliwe były infekcje, ale aktualnie zostały tylko po nich niemałe ślady. Jeśli chodzi o przeglądarkę FireFox to trochę ją odświeżymy, może to pomoże w jej ogólnym dzianiu. Ja w raportach widzę, że system jest zaktualizowany do Service Pack 2, więc raczej tak jest, choć czas aktualizacji faktycznie jest zastanawiający (no chyba, że została pobrana wcześniej, a teraz dopiero zainstalowana). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms} HKU\S-1-5-21-235788192-3075303823-229826334-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms} HKU\S-1-5-21-235788192-3075303823-229826334-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX HKU\S-1-5-21-235788192-3075303823-229826334-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-235788192-3075303823-229826334-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = R1 {2381c708-437b-40af-a3fc-1f3bd1d5172d}Gt; C:\Windows\System32\drivers\{2381c708-437b-40af-a3fc-1f3bd1d5172d}Gt.sys [55824 2015-07-24] (StdLib) U0 aswVmm; Brak ImagePath S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] U3 uwldrpow; \??\C:\Users\IZA\AppData\Local\Temp\uwldrpow.sys [X] HKU\S-1-5-21-235788192-3075303823-229826334-1000\...\ChromeHTML: -> Task: {05289A31-D33F-44CC-84CA-6C839D930747} - \ChronicBeats -> Brak pliku C:\Users\IZA\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Przepraszam za takie opóźnienia w odpowiedziach. System jest mocno zainfekowany przez nowoczesne adware (wariant Elex uszkadzający usługę Themes, więc przypuszczalnie nie działa Ci w ogóle usługa kompozycji Aero). Oprócz tego wiadomo adware podmieniające wyszukiwarkę na amisites oraz inne komponenty PUP. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} HKU\S-1-5-21-1394664871-1245148921-295335108-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 HKU\S-1-5-21-1394664871-1245148921-295335108-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 SearchScopes: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} SearchScopes: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} Edge HomeButtonPage: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 CHR HomePage: Default -> hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191 CHR StartupUrls: Default -> "hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191" CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms} CHR DefaultSearchKeyword: Default -> amisites S3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [877056 2016-12-28] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5] R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [788480 2016-12-27] () [brak podpisu cyfrowego] R2 Convxxxx; C:\Users\Mateusz\AppData\Roaming\behae\UvConverter.exe [393216 2016-12-27] (Copyright © 2016) [brak podpisu cyfrowego] C:\Program Files (x86)\WinArcher C:\Users\Mateusz\AppData\Roaming\behae C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1 (Debug Log).lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Mateusz\AppData\Local\Mozilla C:\Users\Mateusz\AppData\Roaming\Mozilla C:\Users\Mateusz\AppData\Roaming\Profiles Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Mateusz\AppData\Local CMD: dir /a C:\Users\Mateusz\AppData\LocalLow CMD: dir /a C:\Users\Mateusz\AppData\Roaming Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To się po prostu czasem zdarza, poza tym ja wywaliłem tylko modyfikacje polityk grup - a to nie mogła spowodować takiego efektu.

Teraz widać szkodliwe modyfikacje w preferencjach Google Chrome, ale to są naprawdę błache sprawy. Chrome pref Found: [C:\Users\kimi\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.oursurfing.com/?type=hp&ts=1441690998&z=f436e916e7cb9f8c8fe01f7g0z7zdgbq9t1e9tbt5m&from=amt&uid=WDCXWD3200A Chrome pref Found: [C:\Users\kimi\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.mysites123.com/?type=hp&ts=1455678212&z=ea190aba1d8b668d6551484g8zfw1wbq0mabdodg0o&from=amt&uid=st1000dm003 Chrome pref Found: [C:\Users\kimi\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.yoursearching.com/?type=hp&ts=1458399378&z=bd490dcc7c914d9aba4c393g7zbwcbdc6t1tec1m2b&from=itr&uid=st1000dm Można je wywalić ręcznie, ale to zdecydowanie więcej roboty niż przeinstalowanie przeglądarki na czysto. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Proszę pisz wolniej, a bardziej zrozumiale. Powiedz mi dlaczego sądzisz, że przeglądarki są zainfekowane i jakie są tego symptomy. Aktualnie wiem, że masz problem z playlistą oraz minimalizacją przeglądarek, ale to są problemy kompletnie pozainfekcyjne.

W raportach rzeczywiście widać szczątki po infekcji, która niewątpliwe tutaj gościła. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3193611003-341622343-3118953118-1001\...\Policies\Explorer: [NoInternetOpenWith] 1 HKLM\...\Providers\os9m9brr: C:\Program Files (x86)\Courkaripack Center\local64spl.dll C:\Program Files (x86)\Courkaripack Center IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe ShellExecuteHooks: Brak nazwy - {6034A99A-C6B5-11E6-9816-64006A5CFC23} - -> Brak pliku HKU\S-1-5-18\...\Run: [] => 0 HKU\S-1-5-21-3193611003-341622343-3118953118-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO-x32: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku U4 DiagTrack; Brak ImagePath HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\batfile: HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\.bat: batfile => HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\cmdfile: HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\.cmd: cmdfile => C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stardock\CursorFX.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Enhanced Mitigation Experience Toolkit\EMET User's Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\ALLPlayer.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Według tych raportów AdwCleaner nie wykrywa już żadnych infekcji. Wczoraj AdwCleaner wykrył tylko poniższy element i został on już usunięty, bo aktualnie jest nie wykrywany. C:\Users\kimi\AppData\Roaming\Mozilla\Firefox\Profiles\knu1xkvg.default\extensions\anttoolbar@ant.com Podsumujmy: w systemie brak aktywnej infekcji, lecz Tobie działa niepoprawnie playlista oraz minimalizacja przeglądarki. Nie specjalizuję się w rozwiązywaniu problemów pozainfekcyjnych, ale może spróbuj przeinstalować przeglądarkę na której występuje omawiany problem.

Fix pomyślne wykonany. System nie jest zainfekowany, więc to problem nie na miarę tego działu. Temat przenoszę do działu pozostałe zagadnienia komputerowe.

Wejdź w C:\AdwCleaner i dostarcz mi wszystkie raporty. Teraz masz te dwa programy zainstalowane, rozumiem, że gdy je odinstalujesz to one samoczynnie znowu się zainstalują? Opisz to jakoś bardziej. Dlaczego uważasz, że to jest spowodowane infekcją? Może być masa przyczyn i to kompletnie pozainfekcyjnych. W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja polityk grup, pustych wpisów oraz martwych usług. Plik Hosts resetuje, ze względu na jego szkodliwą zawartość.

Jeśli chodzi o infekcję to nie było nic oprócz wspomnianej przeze mnie wcześniej prefabrykowanej przeglądarki. Nie działająca usługa Centrum zabezpieczeń była spowodowana tylko złymi ustawieniami. Jeśli chodzi o sieć to tutaj mogła być masa przyczyn i to kompletnie pozainwestycyjnych. Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz skasuj punkty przywracania systemu - KLIK / KLIK. Zaktualizuj również ważne programy - KLIK. Przeczytaj jak uniknąć nieciekawych przygód z adware - KLIK.

Podsumuj obecną sytuację.

Przepraszam za tak późna odpowiedź. Dostarczone przez Ciebie raporty mają już 4 dni, więc są raczej nieaktualne. Wygeneruj nowy zestaw raportów i go zaprezentuj.

Na przyszłość: nie używaj programu ComboFix na własną rękę - rób to tylko i wyłącznie pod nadzorem osoby wykwalifikowanej. Więcej tutaj: KLIK. Wynik z AdwCleaner nadaję się do usunięcia. W raportach brak oznak infekcji, został tylko ślad po adware, czyli modyfikacja polityk grup (choć może to być również sprawka użycia ComboFix). Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3816386762-832536888-907195371-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowego zestawu logów FRST, ani raportu wynikowego (pliku Fixlog.txt). Odinstaluj ComboFix oraz usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK / KLIK.

Usługa Centrum Akcji jest aktualnie całkowicie wyłączona, a jej typ uruchamiana został zmieniony. Do roboty od strony infekcji została kasacja szczątek z rejestru po prefabrykowanej przeglądarce. 1. Klawisz z flagą Windows + R i w polu Uruchom wklep services.msc. Na liście usług dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\crxbro Browser DeleteKey: HKLM\SOFTWARE\Wow6432Node\crxbro DeleteKey: HKU\S-1-5-21-3823913081-2609085584-2459951151-1000\Software\Classes\crxbroHTM EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Dostarcz raport wynikowy, czyli plik Fixlog.txt oraz podsumuj obecną sytuację. Nie musisz już robić nowego zestawu logów FRST.

Błąd sugeruję, że wpisałeś tylko komendę C:\Program, a nie C:\Program Files\Mozilla Firefox\firefox.exe -p, sprawdź to. Idziemy dalej: usługa Themes wygląda już w porządku, w raportach (prócz FireFox) wszystko wygląda OK. 1. Uruchom AdwCleaner kliknij skanuj, a następnie oczyść. Dostarcz raport z tego działania. 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk CMD: dir /a C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zniknął Ci skróty przeglądarki FireFox - możesz utworzyć sobie nowe przez PPM. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Tym zajmie się ktoś z działu Sieci, na razie priorytet to dezynfekcja systemu. W raportach widać tylko prefabrykowaną przeglądarkę, podszywającą się pod Google Chrome. Reszta to działania czysto kosmetyczne: kasacja pustych wpisów, skrótów LNK oraz martwej usługi. Mam pytanie: skąd wzięła się poniższa linijka w logu FRST? W FRST raczej nie ma takiej detekcji. C:\FRST\FRST64.exe => Win32/Suweezy? - pomyślnie przeniesiono 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\crxbro Browser HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = U3 uxldapow; \??\C:\Users\pc\AppData\Local\Temp\uxldapow.sys [X] C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\HP Taskbar Process TP.lnk C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Metin2 Ravia.eu\Uruchom Grę.lnk C:\Users\pc\Desktop\97\Metin2 Nawie.lnk C:\Users\pc\Desktop\nagrane juz\doris\kom2\kom 043 — skrót.lnk C:\Users\pc\Desktop\pen\miasto\peryferie.mdb.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\pc\AppData\Local\Mozilla C:\Users\pc\AppData\Roaming\Mozilla C:\Users\pc\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Ustaw dowolną przeglądarkę jako domyślną (proponuję ustawić Google Chrome - KLIK). 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). crxbro Browser W tym samym katalogu skąd uruchamiano FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Zrób log z Farbar Service Scanner.

OK. Temat rozwiązany ze strony infekcji. Temat kwalifikuje się do działu Sieci.

Skoro jest już wszystko OK, to kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Moment, a jak z pkt. 2? Coś zostało wykryte?