Miszel03

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów w harmonogramie zadań, usług oraz szczątek po programach (głównie po przeglądarce FireFox). Temat przenoszę do działu Windows 10.

Zniknęły Ci tylko z skróty prowadzące do przeglądarek, a nie przeglądarki. Możesz je z powrotem utworzyć. FireFox utworzy ci nowy po wykonaniu pkt. 2. Zaś do Google Chrome: PPM na pulpit > Nowy > Skrót > Element docelowy: C:\Program Files\Google\Chrome\Application\chrome.exe > Dalej > Nazwij skrót np. Google Chrome > Zakończ. Poprawkowe działania dot. usunięcia adware: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {3570A125-FE87-4A50-91A8-C2EA3A7B9B5E} - System32\Tasks\{506C0E67-6345-4EA3-A567-60DBC57428CC} => pcalua.exe -a "C:\Users\USER\Local Settings\Application Data\Bundled software uninstaller\biclient.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" Task: {EE45D21F-507D-47AE-A54B-A6B8E3237663} - System32\Tasks\{13EBBBE2-127C-4230-8E14-5D1EAD19B8E9} => pcalua.exe -a "C:\Users\USER\Local Settings\Application Data\Bundled software uninstaller\biclient.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" FirewallRules: [{C74D53B1-C809-435C-9D7A-23D91C013CE8}] => C:\Program Files (x86)\Coldjob\Application\chrome.exe FirewallRules: [{F7E54260-A605-4CA8-A1DD-336920EA2877}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{F3D342D1-63D3-450A-881D-308719CCD4F7}] => C:\Program Files (x86)\Firefox\Firefox.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeinstaluj na czysto przeglądarkę Mozilla FireFox - KLIK (wykonujesz punkt Usuwanie FireFoksa oraz Usuwanie danych osobistych i ustawień FireFoksa). 3. Zrób log FRST (już bez Addition i Shortcut).

Całkowicie źle przeprowadziłeś pkt. 1, w skutek czego skrypt w ogóle się nie wykonał. Zawartość skryptu nie ma być w jeden linijce, lecz tak jak jest to zaprezentowane w specjalnym tagu Noparase. 1. Przeprowadź jeszcze raz pkt. 1. Teraz przesyłam Ci już gotowy plik Fixlist.txt - Twoim zadaniem jest go tylko umieścić na pulpicie (ale przedtem pamiętaj, aby skasować stary, zły Fixlist.txt). Dopiero gdy plik będzie na pulpie uruchom FRST i kliknij w Napraw (Fix), czekaj cierpliwie, nie przerywaj tego działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST (czyli w Twoim przypadku na pulpicie) powstanie plik fixlog.txt. Fixlist.txt 2. W AdwCleaner jeszcze raz przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nic gorszego nie mógł zrobić. Przekaż znajomemu, żeby się z tym zapoznał - KLIK. Omówienie pomocy: Pomoc na miarę tego działu, czyli dezynfekcja systemu pod względem infekcji i kosmetycznego stanu systemu. Kierownictwo do odpowiedniego działu, w którym pomogą rozwiązać problem nie dot. infekcji, jeśli ja nie będę w stanie. W raportach widoczne infekcje adware oraz puste usługi / wpisy, trzeba również pozbyć się resztek po przeglądarce FireFox. 1. Przez panel sterowania odinstaluj: Jungle Net (Adware) key-find uninstall (Adware) AVG SafeGuard toolbar (zbędnik) 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-160238566-1350474344-338097376-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-160238566-1350474344-338097376-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\MobileTrans\DriverInstall.exe" [X] CHR Extension: (SnapMyScreen) - C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnacmlfckijnmogihjeaojfnfiplhhpj [2016-12-13] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Kasia\AppData\Local\Mozilla C:\Users\Kasia\AppData\Roaming\Mozilla C:\Users\Kasia\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Jeśli skrót nie zadziała, spróbujesz uruchomić Google Chrome przez tą ścieżkę C:\Program Files\Google\Chrome\Application\Chrome.exe Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj SnapMyScreen oraz wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Spróbuj odinstalować ZoneAlarm z poziomu trybu awaryjnego (kliknij F8 przed startem systemu) i zainstalować ją jeszcze raz (oczywiście pobierając instalator ze strony producenta, a nie np. z dobrych programów).

FRST domyślnie generuje pliki FRST oraz Addition, lecz na naszym forum wymagamy jeszcze trzeciego raportu uzupełniającego Shortcut. Aby go wygenerować musisz zaznaczyć opcję Shortcut w interfejsie FRST i kliknąć w przycisk Skanuj. P.S: przecież podlinkowałem Ci w wyrazie FRST w moim pierwszym poście dokładną instrukcję wykonania raportów (KLIK). Bez raportów mogę załatwić tylko sprawę poboczną: Pierwsze słyszę, że są jakieś wątpliwości dot. tego programu i raczej w nie wątpię. Uważam, że jest on godny zaufania i spokojnie można go używać.

To nie jest problem na miarę tego działu, więc temat przenoszę do działu Windows 7. Dziękujemy!

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów / usług oraz szczątek po programach (głownie po przeglądarce FireFox). Temat przenoszę do działu Pozostałe zagadnienia komputerowe.

Wygląda to już OK. Niestety, wciąż w przeglądarce Google Chrome widzę poniższą modyfikację adware (próbowałem ją usunąć poprzez FRST, ale bez skutku). CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1421067010&from=kmp&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1425413868&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://www.istartsurf.com/?type=hppp&ts=1425413893&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1425665864&from=cor&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1430071217&from=cor&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","?type=hppppp","hxxp://www.gazeta.pl/0,0.html?p=190","hxxp://www.trotux.com/?z=64d444ec432f98827ebe090g4zcqdmez3b3q5b5b9q&from=ftp&uid=INTELXSSDSC2BW120A4_CVDA503503ER1207GN&type=hp" Kompleksowo przeinstaluj przeglądarkę Google Chrome (jeśli jest Ci to bardzo nie na rękę to napisz będziemy to leczyć inaczej). Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Zrób log FRST (bez Addition i Shortcut).

W raportach widoczne ślady mogące wskazywać, że w przeszłości była tu poważna infekcji Rootkit omijająca weryfikacje integralności poprzez dodane niestandardowego wpisu w BCD, tym samym włączając tryb tzw. "testu". Infekcją ładuję również ukryty, niepodpisany sterownik, którego tutaj na szczęście brak, więc pozostaję tylko usunąć modyfikacje BCD, szczątki po programach (głownie po przeglądarce FireFox) oraz puste wpisy / usługi oraz skróty LNK. Moja pomoc ogranicza się tylko do ogarnięcia systemu od strony infekcji, więc jeśli po moich zaleceniach sytuacja ze stabilnościa systemu nie ulegnie zmianą to temat ląduje w dziale Windows 7. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2629472346-4294126388-1045716372-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1421067010&from=kmp&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1425413868&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://www.istartsurf.com/?type=hppp&ts=1425413893&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1425665864&from=cor&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1430071217&from=cor&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","?type=hppppp","hxxp://www.gazeta.pl/0,0.html?p=190","hxxp://www.trotux.com/?z=64d444ec432f98827ebe090g4zcqdmez3b3q5b5b9q&from=ftp&uid=INTELXSSDSC2BW120A4_CVDA503503ER1207GN&type=hp" S3 catchme; \??\C:\ComboFix\catchme.sys [X] testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellarium\config.ini.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellarium\Last run log.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Documentation.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Perl Critic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Perl Package Manager.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\janou\AppData\Local\Mozilla\Firefox C:\Users\janou\AppData\Roaming\Mozilla\Firefox C:\Users\janou\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Wygląda to już OK, a skoro piszesz, że problem ustąpił to będziemy kończyć. Poprawki: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku U0 aswVmm; Brak ImagePath C:\Users\Hubert\Desktop\Tibia.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia Website.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Uninstall Tibia.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać żadnych nowych raportów, ani wynikowych. Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK. Zaktualizuj ważne programy - KLIK. Przeczytaj obszerny temat dot. uniknięcia nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać.

Na przyszłość: jeśli proszę o skan to proszę o skan, a nie o skan i dezynfekcje, ale niech już będzie. Wygląda to już w porządku, napisz jak wygląda sytuacja z Twojej strony. Skasuj ręcznie ten pusty skrót: C:\Users\Lenovo\Desktop\Kontynuuj instalację Windows 10 - instalator.lnk

W raportach brak oznak infekcji, w spoilerze sprawy poboczne: kasacji pustych wpisów / usług, szczątek po programach (głownie po przeglądarce FireFox)

Możesz je sobie odpuścić. W raportach brak oznak infekcji, w spoilerze sprawy poboczne. Jeśli chodzi o problem tytułowy to w nim Ci nie pomogę. Musisz czekać na kogoś innego.

Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK. Zaktualizuj ważne programy - KLIK. Przeczytaj obszerny temat dot. uniknięcia nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać.

W dostarczonych raportach widoczny wpis w harmonogramie zadań uruchamiający armani-br.ru oraz szkodliwe zmodyfikowane polityki grup. W skrypcie: kasacja widocznych problematycznych elementów oraz pustych wpisów, skrótów LNK, szczątek po programach (głownie po przeglądarce FireFox). P.S: Korzystasz z rozwiązania firmy Qihoo, a z tą firmą są związane liczne kontrowersje oraz afera z manipulowaniem wyników w testach. Ponadto, raporty na temat reklam produkowanych przez program. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia ? GroupPolicy\User: Ograniczenia ? HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {FF2C4045-21E4-47C9-80D8-9804ED889658} - System32\Tasks\InternetDD => Chrome.exe hxxp://armani-br.ru/coloradosm C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firewatch\Firewatch.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firewatch\Uninstall Firewatch.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner.lnk C:\Users\wiki\Desktop\Minecraft.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Hubert\AppData\Local\Mozilla C:\Users\Hubert\AppData\Roaming\Mozilla C:\Users\Hubert\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt oraz napisz czy problem ustapił.

W raportach brak oznak infekcji, widać jedynie szczątki po adware Lightzap. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = U0 aswVmm; Brak ImagePath S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {59EB9752-6973-4DA6-937A-640E9669C1E2} - System32\Tasks\psv_GoodTech => /c regedit.exe /s "C:\ProgramData\Lightzap\BlueBam.reg" & del "C:\ProgramData\Lightzap\BlueBam.reg" & SCHTASKS /Delete /TN "psv_GoodTech" /F Task: {7AB1C037-B1CF-49DE-81ED-8CD7D92E4456} - System32\Tasks\psv_Voyawarm => /c regedit.exe /s "C:\ProgramData\Lightzap\Scot-Dox.reg" & del "C:\ProgramData\Lightzap\Scot-Dox.reg" & SCHTASKS /Delete /TN "psv_Voyawarm" /F Task: {E0D4BBE4-11ED-46E4-B799-E0C6EC4617A2} - System32\Tasks\psv_Rankcore => /c regedit.exe /s "C:\ProgramData\Lightzap\Soldom.reg" & del "C:\ProgramData\Lightzap\Soldom.reg" & SCHTASKS /Delete /TN "psv_Rankcore" /F Task: {E2FD6EDB-4AA8-4AD3-9B97-676DFAC1475B} - System32\Tasks\psv_Zenstatplus => /c regedit.exe /s "C:\ProgramData\Lightzap\Joyhome.reg" & del "C:\ProgramData\Lightzap\Joyhome.reg" & SCHTASKS /Delete /TN "psv_Zenstatplus" /F Task: {F7C9B877-AB18-42A9-A000-2F211B077CC3} - System32\Tasks\psv_Medfind => /c regedit.exe /s "C:\ProgramData\Lightzap\Trioplus.reg" & del "C:\ProgramData\Lightzap\Trioplus.reg" & SCHTASKS /Delete /TN "psv_Medfind" /F C:\ProgramData\Lightzap C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes\iTunes.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty wyglądają już w porządku, podsumuj obecną sytuację. C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\chfdnecihphmhljaaejmgoiahnihplgn Wykryto preferencje Chromium: [C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences ] - chfdnecihphmhljaaejmgoiahnihplgn To nie są szkodliwe obiekty należą do AVG, ale przez AdwCleanera są traktowane jako firmowe PUP.

Temat nie jest zakończony, jeśli by był to na pewno bym Cię o tym poinformował. Czekaj na odpowiedź.

W raportach brak oznak infekcji, w spoilerze sprawy poboczne: kasacji pustych usług / wpisów, kosmetyka.

Wersja, której użyto do generacji raportów FRST jest bardzo przestarzała, bo z lutego br. Wykonaj nowe raporty korzystając z najnowszej wersji narzędzia Farbar Recover Scan Tool.

To wygląda na fałszywy alarm, zobacz choćby na dodatkowe informacje o elemencie - pochodzenie procesu od MBAM.

W raportach widoczne modyfikacje adware (zarażone skróty LNK, profil, polityki grup). Zaczynamy. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-844956796-4294606565-3297058277-1000\Software\Microsoft\Internet Explorer\Main,Start Page = BHO: Brak nazwy -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku CHR Profile: C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-15] S3 7ByteIo; \??\d:\Program Files (x86)\Hot CPU Tester Pro 4 LE\SysInfoX64.sys [X] S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X] S3 GPU-Z; \??\C:\Users\PAWE~1\AppData\Local\Temp\GPU-Z.sys [X] Task: {92A2E941-65A9-4082-A860-F477ED1386C4} - \8d66777dde5c9948c03b04d1f9eb5a60 -> Brak pliku Task: {BF7A1F20-BA8E-48BA-BCE4-0F9A369FF52A} - System32\Tasks\steamwebhelper_killer => TASKKILL [Argument = /F /IM steamwebhelper.exe /T] ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" --app-id=knipolnnllmklapflnccelgolnpehhpl ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=knipolnnllmklapflnccelgolnpehhpl DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Paweł\AppData\Local\Mozilla C:\Users\Paweł\AppData\Roaming\Mozilla C:\Users\Paweł\AppData\Roaming\Profiles C:\ProgramFiles (x86)\Mozilla Firefox C:\ProgramData\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Paweł\AppData\Local CMD: dir /a C:\Users\Paweł\AppData\LocalLow CMD: dir /a C:\Users\Paweł\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK. Przeczytaj i dowiedz się jak unikać podobnych sytuacji: Portale z oprogramowaniem / Instalatory - na co uważać.

W raportach widoczny kolosalny bałagan z adware, zarażone skróty LNK, podmiany Google Chrome itd. Od razu przechodzimy do działań. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {6DDD968A-9F42-4586-87A0-EB81ACD9F1CE} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe Task: {78E316D5-C79B-4453-8F55-6235945B529D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {FEE8FFAA-DBAF-4D81-A6C0-E6D607EA3FDF} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files (x86)\UCBrowser Task: {B09B556B-E4E7-4472-BC99-04AD1FC5E811} - System32\Tasks\osTip => Chrome.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ FirewallRules: [{AAE9FD5A-BCC0-49C6-9F01-3636168C666A}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{DFD3D180-28CC-4040-B08F-3D29EC6C40D2}] => C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2973696725-2151443549-252006422-1001\...\Run: [msiql] => C:\Users\kobis\AppData\Local\Temp\00013249\msiql.exe [2045952 2016-12-16] () C:\Users\kobis\AppData\Local\Temp\00013249\msiql.exe HKU\S-1-5-21-2973696725-2151443549-252006422-1001\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\chrome.exe [7204864 2016-12-06] () C:\ProgramData\WindowsMsg HKU\S-1-5-18\...\Run: [] => 0 AppInit_DLLs: C:\ProgramData\Quoteex\Big-Lam.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\Ventocore.dll => Brak pliku C:\ProgramData\Quoteex HKU\S-1-5-21-2973696725-2151443549-252006422-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {452B3649-EC7C-4B2A-8781-EC0766B65FAD} URL = SearchScopes: HKU\.DEFAULT -> {452B3649-EC7C-4B2A-8781-EC0766B65FAD} URL = Edge HomeButtonPage: HKU\S-1-5-21-2973696725-2151443549-252006422-1001 -> S2 GoogleChromeUpService; C:\ProgramData\service.exe /s GoogleChromeUpService /uid:51504 /local:br [X] R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) SearchScopes: HKU\S-1-5-21-2973696725-2151443549-252006422-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms} 2016-12-16 13:11 - 2016-12-16 13:11 - 00003018 _____ C:\WINDOWS\System32\Tasks\osTip 2016-12-16 12:47 - 2016-12-16 13:44 - 00000324 _____ C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job 2016-12-16 12:47 - 2016-12-16 12:48 - 00002678 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdaterCore 2016-12-16 12:47 - 2016-12-16 12:47 - 00003506 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater 2016-12-16 12:46 - 2016-12-16 13:44 - 00000488 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job 2016-12-16 12:46 - 2016-12-16 12:46 - 00004444 _____ C:\WINDOWS\System32\Tasks\SecureUpdater 2016-12-16 12:46 - 2016-12-16 12:46 - 00000000 ____D C:\Users\kobis\AppData\Local\UCBrowser 2016-12-16 12:38 - 2016-12-16 12:38 - 7310848 _____ () C:\Users\kobis\AppData\Roaming\agent.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0070704 _____ () C:\Users\kobis\AppData\Roaming\Config.xml 2016-12-16 12:38 - 2016-12-16 12:38 - 0016224 _____ () C:\Users\kobis\AppData\Roaming\InstallationConfiguration.xml 2016-12-16 12:38 - 2016-12-16 12:38 - 0140288 _____ () C:\Users\kobis\AppData\Roaming\Installer.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0018432 _____ () C:\Users\kobis\AppData\Roaming\Main.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0005568 _____ () C:\Users\kobis\AppData\Roaming\md.xml 2016-12-16 12:38 - 2016-12-16 12:38 - 0126464 _____ () C:\Users\kobis\AppData\Roaming\noah.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0190394 _____ () C:\Users\kobis\AppData\Roaming\QvoTrax.bin 2016-12-16 12:39 - 2016-12-16 12:39 - 1938535 _____ () C:\Users\kobis\AppData\Roaming\Rantech.bin 2016-12-16 12:38 - 2016-12-16 12:38 - 0615424 _____ () C:\Users\kobis\AppData\Roaming\StimTop.exe 2016-12-16 12:38 - 2016-12-16 12:38 - 1907214 _____ () C:\Users\kobis\AppData\Roaming\StimTop.tst C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\5\Instrukcja do gry.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\4\Serwer dedykowany.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\3\Benchmark.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\2\Edytor.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\1\Graj w Far Cry® 2 (tryb bezpieczny).lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\0\Graj w Far Cry® 2.lnk C:\Users\kobis\Desktop\FRESH\SUPERHOT.lnk C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\kobis\AppData\Local\Mozilla\Firefox C:\Users\kobis\AppData\Roaming\Mozilla\Firefox C:\Users\kobis\AppData\Roaming\Profiles CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.