Miszel03

Uruchomiony przez Mateusz (administrator)  MATEUSZPC (28-12-2016 10:59:19)

Wygeneruj nowe logi, nie dostarczaj starych. 

W systemie niewątpliwe były infekcje, ale aktualnie zostały tylko po nich niemałe ślady. Jeśli chodzi o przeglądarkę FireFox to trochę ją odświeżymy, może to pomoże w jej ogólnym dzianiu.

Ja w raportach widzę, że system jest zaktualizowany do Service Pack 2, więc raczej tak jest, choć czas aktualizacji faktycznie jest zastanawiający (no chyba, że została pobrana wcześniej, a teraz dopiero zainstalowana).

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms}
HKU\S-1-5-21-235788192-3075303823-229826334-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms}
HKU\S-1-5-21-235788192-3075303823-229826334-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX
HKU\S-1-5-21-235788192-3075303823-229826334-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1437735284&z=2d11f98a523a8823cf40d2egaz2camembc6w4o2z8b&from=wpc&uid=HitachiXHTS543232L9A300_090316FB2406LEDT5P3HX&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-235788192-3075303823-229826334-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
R1 {2381c708-437b-40af-a3fc-1f3bd1d5172d}Gt; C:\Windows\System32\drivers\{2381c708-437b-40af-a3fc-1f3bd1d5172d}Gt.sys [55824 2015-07-24] (StdLib)
U0 aswVmm; Brak ImagePath
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
U3 uwldrpow; \??\C:\Users\IZA\AppData\Local\Temp\uwldrpow.sys [X]
HKU\S-1-5-21-235788192-3075303823-229826334-1000\...\ChromeHTML: -> Task: {05289A31-D33F-44CC-84CA-6C839D930747} - \ChronicBeats -> Brak pliku C:\Users\IZA\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
EmptyTemp:

2. Wyczyść FireFox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

4.  Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Przepraszam za takie opóźnienia w odpowiedziach. System jest mocno zainfekowany przez nowoczesne adware (wariant Elex uszkadzający usługę Themes, więc przypuszczalnie nie działa Ci w ogóle usługa kompozycji Aero). Oprócz tego wiadomo adware podmieniające wyszukiwarkę na amisites oraz inne komponenty PUP. 

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
HKU\S-1-5-21-1394664871-1245148921-295335108-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
HKU\S-1-5-21-1394664871-1245148921-295335108-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
SearchScopes: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
Edge HomeButtonPage: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
CHR HomePage: Default -> hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
CHR StartupUrls: Default -> "hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191"
CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
CHR DefaultSearchKeyword: Default -> amisites
S3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [877056 2016-12-28] () [brak podpisu cyfrowego] 
R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5]
R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [788480 2016-12-27] () [brak podpisu cyfrowego]
R2 Convxxxx; C:\Users\Mateusz\AppData\Roaming\behae\UvConverter.exe [393216 2016-12-27] (Copyright © 2016) [brak podpisu cyfrowego]
C:\Program Files (x86)\WinArcher
C:\Users\Mateusz\AppData\Roaming\behae
C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1 (Debug Log).lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Mateusz\AppData\Local\Mozilla
C:\Users\Mateusz\AppData\Roaming\Mozilla
C:\Users\Mateusz\AppData\Roaming\Profiles
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Mateusz\AppData\Local
CMD: dir /a C:\Users\Mateusz\AppData\LocalLow
CMD: dir /a C:\Users\Mateusz\AppData\Roaming
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia >  wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To się po prostu czasem zdarza, poza tym ja wywaliłem tylko modyfikacje polityk grup - a to nie mogła spowodować takiego efektu.

Teraz widać szkodliwe modyfikacje w preferencjach Google Chrome, ale to są naprawdę błache sprawy. 

Chrome pref Found:  [C:\Users\kimi\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.oursurfing.com/?type=hp&ts=1441690998&z=f436e916e7cb9f8c8fe01f7g0z7zdgbq9t1e9tbt5m&from=amt&uid=WDCXWD3200A
Chrome pref Found:  [C:\Users\kimi\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.mysites123.com/?type=hp&ts=1455678212&z=ea190aba1d8b668d6551484g8zfw1wbq0mabdodg0o&from=amt&uid=st1000dm003
Chrome pref Found:  [C:\Users\kimi\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.yoursearching.com/?type=hp&ts=1458399378&z=bd490dcc7c914d9aba4c393g7zbwcbdc6t1tec1m2b&from=itr&uid=st1000dm

Można je wywalić ręcznie, ale to zdecydowanie więcej roboty niż przeinstalowanie przeglądarki na czysto.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

Proszę pisz wolniej, a bardziej zrozumiale. 

Powiedz mi dlaczego sądzisz, że przeglądarki są zainfekowane i jakie są tego symptomy.

Aktualnie wiem, że masz problem z playlistą oraz minimalizacją przeglądarek, ale to są problemy kompletnie pozainfekcyjne.

W raportach rzeczywiście widać szczątki po infekcji, która niewątpliwe tutaj gościła. 
 
1. Włącz przywracanie systemu.
 
2. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3193611003-341622343-3118953118-1001\...\Policies\Explorer: [NoInternetOpenWith] 1
HKLM\...\Providers\os9m9brr: C:\Program Files (x86)\Courkaripack Center\local64spl.dll
C:\Program Files (x86)\Courkaripack Center
IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe
IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe
ShellExecuteHooks: Brak nazwy - {6034A99A-C6B5-11E6-9816-64006A5CFC23} -  -> Brak pliku
HKU\S-1-5-18\...\Run: [] => 0
HKU\S-1-5-21-3193611003-341622343-3118953118-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku
BHO-x32: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku
U4 DiagTrack; Brak ImagePath
HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\batfile:  HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\.bat: batfile =>  HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\cmdfile:  HKU\S-1-5-21-3193611003-341622343-3118953118-1001\Software\Classes\.cmd: cmdfile =>  C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stardock\CursorFX.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Enhanced Mitigation Experience Toolkit\EMET User's Guide.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\ALLPlayer.lnk
EmptyTemp:

Według tych raportów AdwCleaner nie wykrywa już żadnych infekcji. Wczoraj AdwCleaner wykrył tylko poniższy element i został on już usunięty, bo aktualnie jest nie wykrywany. 

C:\Users\kimi\AppData\Roaming\Mozilla\Firefox\Profiles\knu1xkvg.default\extensions\anttoolbar@ant.com

Podsumujmy: w systemie brak aktywnej infekcji, lecz Tobie działa niepoprawnie playlista oraz minimalizacja przeglądarki.

Nie specjalizuję się w rozwiązywaniu problemów pozainfekcyjnych, ale może spróbuj przeinstalować przeglądarkę na której występuje omawiany problem. 

Fix pomyślne wykonany. System nie jest zainfekowany, więc to problem nie na miarę tego działu.

Temat przenoszę do działu pozostałe zagadnienia komputerowe.

Witam mam taki o to problem z wirusem używałem adwcleaner pomaga do 30 min

potem znów się cholera instaluje norton Securitu darmowa wersja próbna oraz Malwarebytes premium 3.0.5 wersja próbna.

Teraz masz te dwa programy zainstalowane, rozumiem, że gdy je odinstalujesz to one samoczynnie znowu się zainstalują? Opisz to jakoś bardziej. 

Wirus psoci mi się przy słuchaniu muzyki (zaczyna przełączać co 1s na nową) układaniu playlist filmów zaczyna przestawać działać program.

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja polityk grup, pustych wpisów oraz martwych usług. Plik Hosts resetuje, ze względu na jego szkodliwą zawartość. 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2019573516-1231449209-3208073683-1000\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-2019573516-1231449209-3208073683-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicyUsers\S-1-5-21-2019573516-1231449209-3208073683-1004\User: Restriction 
CHR HKLM\SOFTWARE\Policies\Google: Restriction 
SearchScopes: HKLM-x32 -> DefaultScope value is missing
SearchScopes: HKU\S-1-5-21-2019573516-1231449209-3208073683-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = 
SearchScopes: HKU\S-1-5-21-2019573516-1231449209-3208073683-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = 
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\Norton Security\NortonData\22.8.0.50\Definitions\SDSDefs\20161225.001\ENG64.SYS [X]
S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\Norton Security\NortonData\22.8.0.50\Definitions\SDSDefs\20161225.001\EX64.SYS [X]
S3 SNPSTD3; system32\DRIVERS\snpstd3.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
U3 kxldqpod; \??\C:\Users\kimi\AppData\Local\Temp\kxldqpod.sys [X]
Hosts:
EmptyTemp:

Jeśli chodzi o infekcję to nie było nic oprócz wspomnianej przeze mnie wcześniej prefabrykowanej przeglądarki. 

Nie działająca usługa Centrum zabezpieczeń była spowodowana tylko złymi ustawieniami. Jeśli chodzi o sieć to tutaj mogła być masa przyczyn i to kompletnie pozainwestycyjnych. 

Kończymy.

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz skasuj punkty przywracania systemu - KLIK / KLIK.

Zaktualizuj również ważne programy - KLIK. 

Przeczytaj jak uniknąć nieciekawych przygód z adware - KLIK. 

Podsumuj obecną sytuację. 

Przepraszam za tak późna odpowiedź. Dostarczone przez Ciebie raporty mają już 4 dni, więc są raczej nieaktualne. Wygeneruj nowy zestaw raportów i go zaprezentuj. 

Na przyszłość: nie używaj programu ComboFix na własną rękę - rób to tylko i wyłącznie pod nadzorem osoby wykwalifikowanej. Więcej tutaj: KLIK. 
Wynik z AdwCleaner nadaję się do usunięcia.
 
W raportach brak oznak infekcji, został tylko ślad po adware, czyli modyfikacja polityk grup (choć może to być również sprawka użycia ComboFix).
 
Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3816386762-832536888-907195371-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia EmptyTemp:

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\crxbro Browser
DeleteKey: HKLM\SOFTWARE\Wow6432Node\crxbro
DeleteKey: HKU\S-1-5-21-3823913081-2609085584-2459951151-1000\Software\Classes\crxbroHTM
EmptyTemp:

Błąd sugeruję, że wpisałeś tylko komendę C:\Program, a nie C:\Program Files\Mozilla Firefox\firefox.exe -p, sprawdź to. Idziemy dalej: usługa Themes wygląda już w porządku, w raportach (prócz FireFox) wszystko wygląda OK. 

1. Uruchom AdwCleaner kliknij skanuj, a następnie oczyść. Dostarcz raport z tego działania. 

2. Otwórz Notatnik w nim wklej: 

CloseProcesses:
CreateRestorePoint:
C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
CMD: dir /a C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles
EmptyTemp:

Dziś korzystalem około 16 z internetu, potem zamknąłem go i nie działa internet.. Tzn działa, ale z największym trudem, żeby strona się załadowala potrzeba kilku odswiezen, i to też nie załaduje się cała. Na innych urzadzeniach wszystko ładnie działa.

Tym zajmie się ktoś z działu Sieci, na razie priorytet to dezynfekcja systemu. 

W raportach widać tylko prefabrykowaną przeglądarkę, podszywającą się pod Google Chrome. Reszta to działania czysto kosmetyczne: kasacja pustych wpisów, skrótów LNK oraz martwej usługi.

Mam pytanie: skąd wzięła się poniższa linijka w logu FRST? W FRST raczej nie ma takiej detekcji.

C:\FRST\FRST64.exe => Win32/Suweezy? - pomyślnie przeniesiono

1. Otwórz Notatnik w nim wklej:

CloseProcesses:

CreateRestorePoint:
C:\Program Files (x86)\crxbro Browser
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
U3 uxldapow; \??\C:\Users\pc\AppData\Local\Temp\uxldapow.sys [X]
C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\HP Taskbar Process TP.lnk
C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Metin2 Ravia.eu\Uruchom Grę.lnk
C:\Users\pc\Desktop\97\Metin2 Nawie.lnk
C:\Users\pc\Desktop\nagrane juz\doris\kom2\kom 043 — skrót.lnk
C:\Users\pc\Desktop\pen\miasto\peryferie.mdb.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\pc\AppData\Local\Mozilla
C:\Users\pc\AppData\Roaming\Mozilla
C:\Users\pc\AppData\Roaming\Profiles
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Ustaw dowolną przeglądarkę jako domyślną (proponuję ustawić Google Chrome - KLIK).

3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

crxbro Browser

W tym samym katalogu skąd uruchamiano FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Ma to może związek z tym,że zauważyłem,że pojawia się błąd i usluga centrum zabezpieczeń nie działa, wyskakuje błąd przy jej włączeniu.

Zrób log z Farbar Service Scanner.

OK. Temat rozwiązany ze strony infekcji.

Cytat

Coraz częściej w godzinach wieczornych mniej więcej o tej samej porze połączenie sieciowe zostało zrywane, zaskakująco regularnie.

Temat kwalifikuje się do działu Sieci. 

Skoro jest już wszystko OK, to kończymy.

Cytat

Czy mogę wszystkie te logi, pliki usbfix, programy, gmery pokasować bez problemu?

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Moment, a jak z pkt. 2? Coś zostało wykryte?