Miszel03

W raportach widoczne adware, liczne przekierowania na śmieciową wyszukiwarkę mylucky123, fałszywą, szkodliwą aplikację podszywającą się pod przeglądarkę Google Chrome (Redjane) oraz zanieczyszczony plik Hosts. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} Edge HomeButtonPage: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080" S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X] S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {E18C1E11-A45B-42DD-833E-3BF35B1D5DB1} - System32\Tasks\RedjaneUpdateTaskMachineUA => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe Task: {ED41BEBA-E7E8-4F2C-895E-4B394794CDE9} - System32\Tasks\RedjaneUpdateTaskMachineCore => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe C:\Program Files (x86)\Redjane C:\ProgramData\Redjane FirewallRules: [{754F550F-88C1-455D-B3B9-8494240BCD80}] => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe FirewallRules: [{2EBD188A-39E8-46E5-A577-0B3829360E9F}] => C:\Program Files (x86)\Redjane\Application\chrome.exe FirewallRules: [{4F45EB23-C9F0-4409-A1A1-10EF09C11015}] => C:\ProgramData\Redjane\Redjane.exe C:\Users\Adrian\Downloads\redsn0w_win_0.9.14b1\redsn0w_win_0.9.14b1\boot-ipt4g.lnk C:\Users\Adrian\Desktop\pulpit\Cities Skylines Deluxe Edition.lnk C:\Users\Adrian\Desktop\pulpit\LEGO Marvels Avengers.lnk C:\Users\Adrian\Desktop\pulpit\Samorost 3.lnk C:\Users\Adrian\Desktop\pulpit\TheForest C:\Users\Adrian\Desktop\pulpit\Warhammer 40000 - Dawn of War II Gold Edition.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samorost 3 [GOG.com]\Samorost 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samorost 3 [GOG.com]\Uninstall Samorost 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LEGO STAR WARS The Force Awakens\LEGO STAR WARS The Force Awakens.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LEGO STAR WARS The Force Awakens\Uninstall LEGO STAR WARS The Force Awakens.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Adrian\AppData\Local CMD: dir /a C:\Users\Adrian\AppData\LocalLow CMD: dir /a C:\Users\Adrian\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy zestaw raportów FRST (bez GMERa) oraz dołącz raport wynikowy (Fixlog.txt).

Na PW pisałeś, że wykonałeś już jakieś działania (deinstalacja Comodo itd.), więc te raporty FRST są już nie aktualne. Wykonaj nowe.

Brakuje raportu z przeprowadzenia skanowania programem AdwCleaner (patrz pkt. 2 mojego pierwszego posta).

W raportach brak oznak infekcji. W spoilerze sprawy poboczne: kasacja pustych skrótów, wpisów itd.

OK.

OK.

Czysto, - kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Przeczytaj również Portale z oprogramowaniem / Instalatory - na co uważać.

W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Przeczytaj również Portale z oprogramowaniem / Instalatory - na co uważać.

To nie jest problem infekcji. ################## | F:\ - Removable drive (exFAT) | [30/11/2016 - 18:51:18 | D] - F:\[AgusiQ-Torrents.pl]Free.State.of.Jones.2016.PL.720p.BDRip.AC3.XviD-Floki [01/09/2016 - 08:48:54 | D] - F:\St.Vincent.2014.PL.720p.BRRip._dabrjarek.XviD [11/12/2016 - 16:19:55 | A | 0 Ko] - F:\Nowy dokument tekstowy.txt [04/04/2016 - 20:53:26 | A | 2 Ko] - F:\odwolanie3.rtf [11/11/2016 - 19:33:34 | D] - F:\[AgusiQ-TorrentS.pl] The.Infiltrator.2016.PL-KiT [AgusiQ] [26/05/2016 - 07:12:00 | D] - F:\[FileTracker.pl]Kingsman Tajne sluzby 720p[wilu75] [05/12/2016 - 11:40:04 | D] - F:\[FileTracker.pl]John Wick [20/11/2016 - 12:21:34 | D] - F:\[FileTracker.pl]Dzień Bastylii 720px264[wilu75] [26/05/2016 - 07:50:18 | D] - F:\[ELECTRO-TORRENT.PL] The big short x264 720p [30/07/2016 - 13:53:50 | D] - F:\[ELECTRO-TORRENT.PL] Sluzby specjalne (2015) [11/12/2016 - 12:35:42 | D] - F:\[aletorrenty.pl] Prawo Bronxu (1993) [AT-Team] [23/08/2016 - 19:50:32 | D] - F:\[ELECTRO-TORRENT.PL] Pitbull Nowe porzadki 2016 PL DVDRip XviD-KiT [17/07/2016 - 09:26:00 | D] - F:\[ELECTRO-TORRENT.PL] Obecność 720p [16/10/2016 - 13:28:46 | D] - F:\[ELECTRO-TORRENT.PL] La famile 720p [21/08/2016 - 13:40:46 | D] - F:\[ELECTRO-TORRENT.PL] Horrible Bosses 2 2014 PL THEATRiCAL 480p BRRip XViD AC3-NOiSE [04/12/2016 - 19:45:24 | D] - F:\[bEST-TORRENTY.PL] Bastille Day 2016 PL 720p BluRay x264 AC3-K12 [30/07/2016 - 13:49:56 | D] - F:\[ devil-torrents.pl ] Zaginiona dziewczyna [30/07/2016 - 13:56:44 | D] - F:\[ devil-torrents.pl ] Gość [09/05/2016 - 19:28:16 | D] - F:\[ DEVIL-TORRENTS.PL ] Deadpool [06/12/2016 - 15:43:12 | RA | 4872896 Ko] - F:\Bad.Moms.2016.PL.720p.BluRay.x264-BRY.mkv [12/11/2016 - 18:17:40 | D] - F:\[AgusiQ-TorrentS.pl] Nice.Guys.2016.PL.720p.K12 [jans12] [25/09/2016 - 11:26:50 | D] - F:\La.Grande.Bellezza 2013 [TnT24.Info] [25/09/2016 - 12:08:16 | D] - F:\Jagten 2012 PL 720p BRRip AC3 XviD CiNEMAET-SAVED [TnT24.Info] [23/10/2016 - 13:03:44 | D] - F:\Koneser (2013) [TnT24.Info] [30/11/2016 - 21:30:06 | D] - F:\[Polskie-Torrenty.com] Rekiny wojny [720p] [bluRay] [Lektor PL] [24/07/2016 - 21:36:14 | RA | 2181676 Ko] - F:\Za Jakie Grzechy Dobry Boże - Qu'est-ce qu'on a fait au Bon Dieu (2014) [720p] [bRRip] [XviD] [AC3-SLiSU] [Lektor PL].avi [31/10/2016 - 19:33:48 | RA | 1433568 Ko] - F:\An.American.Crime.2007.PL.AC3.BRRip.XviD-TVM4iN.avi [12/11/2016 - 18:13:26 | D] - F:\[Electro-Torrent.pl] Mike.and.Dave.Need.Wedding.Dates.2016.PL.720p.BRRip.XViD.AC3-OzW [30/07/2016 - 13:54:56 | D] - F:\7 Edge.of.Tomorrow.2014.PL.480p.BRRip.XViD.AC3-MORS [21/07/2016 - 20:33:18 | D] - F:\[bEST - TORRENTS.NET] Gran.Torino.2008.PL.720p.BDRip.XviD.AC3-ELiTE [02/09/2016 - 19:36:56 | D] - F:\Were.The.Millers.2013.THEATRiCAL.CUT.PL.480p.BDRip.XviD.AC3-ELiTE [13/11/2016 - 18:21:56 | D] - F:\[AgusiQ-Torrents.pl]Racing.Extinction.2015.PL.720p.BDRip.XviD.AC3-ELiTE [05/12/2016 - 13:38:02 | D] - F:\[AgusiQ-TorrentS.pl] Cartel.Land.2015.PL.BluRay.720p-KRT [AgusiQ] [29/08/2016 - 19:36:16 | D] - F:\Pride (2014) [29/08/2016 - 19:38:30 | D] - F:\Birdman (2014)[bRRip][XviD-torentup][Lektor PL] [05/09/2016 - 15:58:28 | D] - F:\Wszystko za życie(wstawka poprawiona)(BadBoy85) [25/09/2016 - 11:30:40 | D] - F:\Życie na podsłuchu - Das Leben der Anderen (2006) [31/10/2016 - 17:43:14 | D] - F:\The Lincoln Lawyer 480p ac3 pl 2011 [11/12/2016 - 12:06:42 | D] - F:\KOMPUTER Czy to co jest widoczne powyżej jest widoczne w eksploratorze Windows? Jeśli tak to na tym pendrive nie ma żadnych innych danych. Jeśli jednak nie widzisz kompletnie nic to zastanawia mnie ten system plików: F:\ - Removable drive (exFAT) Windows 7 powinien go obsługiwać natywnie, ale kto wie czy nie tu właśnie jest problem. Zaraz Twój temat zostanie przeniesiony do działu Hardware skąd poczekasz najlepiej na odzew Groszexxx.

Skoro problem ustąpił to kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK. Przeczytaj również Portale z oprogramowaniem / Instalatory - na co uważać.

1. W AdwCleaner powtórz czynność skanowania, ale po niej kliknij w Oczyść. Dostarcz raport z tego działania. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0405163B-E7DE-47A8-BAE1-86B2EED7B1FC} - System32\Tasks\d6a959b4fd1aaa581ab458d9d73c08ff => Rundll32.exe "C:\Program Files (x86)\BRS\0oo5rc.dll",e62dc6c6547f46bda862da2d05af6862 C:\Program Files (x86)\UCBrowser EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Nie musisz dostarczać raportu wynikowego (Fixlog.txt). Napisz czy problem ustąpił.

W raportach widoczne szkodliwe modyfikacje (zarażone skróty LNK wraz z automatycznym ładowaniem rozszerzenia z prefabrykowanej lokalizacji) wyszukiwarki yeabd66.cc. Oprócz tego w raportach widać szczątki po innych infekcjach adware i programach (głównie po przeglądarce FireFox). Zaczynamy. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 ShellExecuteHooks: - {3F1B64C0-AA92-11E6-B58E-64006A5CFC23} - C:\Users\Nesste\AppData\Roaming\Elukweceward\Tiwale.dll Brak pliku [ ] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\Software\Microsoft\Internet Explorer\Main,Start Page = URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> DefaultScope {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=154 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=154","hxxp://www.istartsurf.com/?type=hp&ts=1409675265&from=smt&uid=ST1500DM003-9YN16G_W1E2QME9XXXXW1E2QME9" OPR Extension: (CinPl2.3c) - C:\Users\Nesste\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhnjdejfbngngppihmpgncfnpfdaglhg [2014-09-02] S2 BstHdUpdaterSvc; C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe [X] S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X] S2 PlaysService; "C:\Program Files (x86)\Raptr Inc\PlaysTV\plays_service.exe" [X] S3 ALSysIO; Brak ImagePath S3 BRDriver64_1_3_3_E02B25FC; Brak ImagePath S3 EagleX64; Brak ImagePath S3 gdrv; Brak ImagePath U0 aswVmm; Brak ImagePath S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X] S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X] S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X] S3 qcusbnet; system32\DRIVERS\qcusbnet.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] 2016-03-19 19:24 - 2016-03-19 19:24 - 6493696 _____ () C:\Users\Nesste\AppData\Roaming\agent.dat 2016-03-19 19:24 - 2016-03-19 19:24 - 0127488 _____ () C:\Users\Nesste\AppData\Roaming\Installer.dat 2016-03-19 19:24 - 2016-03-19 19:24 - 0018432 _____ () C:\Users\Nesste\AppData\Roaming\Main.dat Task: {0B825389-7CFF-4F71-9C7F-280C123F5173} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> Brak pliku Task: {230F544D-4F40-445F-92C8-8357185B6100} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> Brak pliku Task: {346EDB4C-62B6-467D-8CC4-E0217ABB6FA5} - \Microsoft\Windows\Media Center\OCURActivate -> Brak pliku Task: {3EB9619C-CF63-4E2A-8CB8-AF7645B418AF} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Brak pliku Task: {3EFDE1F4-CCBA-47E7-BFF8-EBA451BCEC12} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku Task: {4EA494FC-0494-4264-BF5F-565EDB06EE41} - \Microsoft\Windows\Media Center\RegisterSearch -> Brak pliku Task: {54D9C6DC-217B-4256-BEE1-FD2E45997CEB} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Brak pliku Task: {5B931075-BC14-4CC8-B2EA-97F8DE86A0B6} - \Microsoft\Windows\Media Center\PBDADiscovery -> Brak pliku Task: {5FEA77D6-5A56-4B51-ADE2-9A6ABFB636B3} - \Microsoft\Windows\Media Center\mcupdate -> Brak pliku Task: {69EFC8A3-0623-49FF-88C1-0E3895D29AAB} - \Microsoft\Windows\Media Center\ehDRMInit -> Brak pliku Task: {84170554-552F-4E12-B551-9ED3534A9173} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> Brak pliku Task: {8B957F03-F793-4072-8363-49C441879D3C} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku Task: {8F72D655-EF0C-489B-8E16-B56AD18A1468} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {9676E001-2070-4594-9DE5-1984E2DE009B} - \Microsoft\Windows\Media Center\UpdateRecordPath -> Brak pliku Task: {97F0BF86-6E68-4073-A797-D0EF9E46BF2E} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> Brak pliku Task: {9ACCEC29-D06F-45D5-812A-FA0A71876C12} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> Brak pliku Task: {A9A65A43-F0E2-4DF3-84D8-F06D572F0A88} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Brak pliku Task: {B53BF6A5-62A0-4AFC-A916-C9FFFB75B730} - \Microsoft\Windows\Media Center\InstallPlayReady -> Brak pliku Task: {BAE2BA0E-EB2A-48B4-ACFD-EA28EBE03B72} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> Brak pliku Task: {DB22B199-18AF-45F3-8EA6-80353684E0E0} - \Microsoft\Windows\Media Center\RecordingRestart -> Brak pliku Task: {DCF0D733-C4B2-4827-9B88-1F2F56ABA5FE} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> Brak pliku Task: {E9C70F03-8906-4C03-8A99-3541FA4EBA8F} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Brak pliku ShortcutWithArgument: C:\Users\Nesste\AppData\Local\Dritopy\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2 C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [116] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warblade\Warblade User Manual.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infogrames Interactive\Monopoly\Play Monopoly.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infogrames Interactive\Monopoly\Readme.txt.lnk C:\ProgramData\AVG\AWL2014\StartUp Manager\Wyłącz obiekty dla wszystkich użytkowników\CodecPackUpdateChecker.lnk C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\AVG PC TuneUp.lnk C:\Users\Nesste\Start Menu\Programs\SpyHunter\SpyHunter.lnk C:\Users\Nesste\Start Menu\Programs\SpyHunter\Uninstall.lnk C:\Users\Nesste\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Screenshots.lnk C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Nesste\AppData\Local\Microsoft\Windows\GameExplorer\{355771DE-E430-4500-9542-50CBA99200E5}\PlayTasks\0\Zagraj.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\\Nesste\AppData\Local\Mozilla C:\Users\\Nesste\AppData\Roaming\Mozilla C:\Users\\Nesste\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Nesste\AppData\Local CMD: dir /a C:\Users\Nesste\AppData\LocalLow CMD: dir /a C:\Users\Nesste\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Wygeneruj nowe raporty FRST (bez GMER) oraz dostarcz raport wynikowy (Fixlog.txt).

W pkt. 3 mojego poprzedniego posta prosiłem tylko o wykonanie skanowania, bez stosowania opcji Oczyść. AdwCleaner jest bardzo dobrym narzędziem, ale trzeba z nim uważać, dlatego zawsze proszę o sam skan, by zweryfikować wyniki. W tym przypadku wyniki nadawały się do usunięcia, więc pół biedy. Z mojej strony sytuacja wygląda już w porządku, napisz teraz jak wygląda to z Twojej strony, czy problem ustąpił itd.

W raportach brak oznak infekcji. Rucek dobrze mówi, - to może być jakiś problem sprzętowy. Zaraz ktoś przeniesie Twój temat do działu Hardware, w którym dołączysz wymagane raporty - KLIK.

OK, będziemy kończyć. W razie dalszych problemów z szybkością pracy komputera załóż temat w dziale Pozostałe zagadnienia komputerowe. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK.

Raport uzupełniony, więc możemy iść dalej. W raportach widoczne szkodliwe obiekty czyli m.in ustawione szkodliwe proxy, infekcja adware Albireo + wspomniany przez Ciebie UCGuard. Zaczynamy. 1. Włącz przywracanie systemu - KLIK. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [win_en_77] => [X] AutoConfigURL: [s-1-5-21-2293639786-2994818483-2183426564-1001] => hxxp://stoppblock.org/wpad.dat?4392482e72d26e5e142518eb8af879d514536945 ManualProxies: 0hxxp://stoppblock.org/wpad.dat?4392482e72d26e5e142518eb8af879d514536945 S3 Origin Client Service; "C:\Program Files (x86)\Origin\OriginClientService.exe" [X] S2 Origin Web Helper Service; "C:\Program Files (x86)\Origin\OriginWebHelperService.exe" [X] R1 UCGuard; C:\WINDOWS\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] 2016-07-30 12:48 - 2016-07-30 12:48 - 7129600 _____ () C:\Users\Dom\AppData\Roaming\agent.dat 2016-07-30 12:48 - 2016-07-30 12:48 - 0067968 _____ () C:\Users\Dom\AppData\Roaming\Config.xml 2016-07-30 12:48 - 2016-07-30 12:48 - 2279413 _____ () C:\Users\Dom\AppData\Roaming\Freshlight.bin 2016-07-30 12:47 - 2016-07-30 12:48 - 0014400 _____ () C:\Users\Dom\AppData\Roaming\InstallationConfiguration.xml 2016-07-30 12:47 - 2016-07-30 12:47 - 0129024 _____ () C:\Users\Dom\AppData\Roaming\Installer.dat 2016-07-30 12:48 - 2016-07-30 12:48 - 0018432 _____ () C:\Users\Dom\AppData\Roaming\Main.dat 2016-07-30 12:48 - 2016-07-30 12:47 - 0683520 _____ () C:\Users\Dom\AppData\Roaming\MatHotex.exe 2016-07-30 12:48 - 2016-07-30 12:48 - 1903257 _____ () C:\Users\Dom\AppData\Roaming\MatHotex.tst 2016-07-30 12:48 - 2016-07-30 12:48 - 0005568 _____ () C:\Users\Dom\AppData\Roaming\md.xml 2016-07-30 12:48 - 2016-07-30 12:48 - 0126464 _____ () C:\Users\Dom\AppData\Roaming\noah.dat Task: {014AE0B8-ECE3-4DB4-BF80-5B68E369F052} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files (x86)\UCBrowser Task: {7878945C-058E-483B-BE81-EC762C0F86FF} - System32\Tasks\ComputerZLite => C:\Program Files (x86)\LdsLite\LdsLite.exe C:\Program Files (x86)\LdsLite Task: {5EA3EDBA-53A2-47E6-AE95-BC6E3BA18E65} - System32\Tasks\{FBDA17B3-D69F-4DF1-B7AA-55A6800E8C60} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" C:\Program Files\SpaceSoundPro WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Dom\AppData\Local CMD: dir /a C:\Users\Dom\AppData\LocalLow CMD: dir /a C:\Users\Dom\AppData\Roaming Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt (raport wynikowy).

W raportach widać szczątki adware, raczej nie mającego związku z problemem. 1. Przez panel sterowania odinstaluj: Update for PriceFountain CloseProcesses:CreateRestorePoint: HKU\S-1-5-21-3789591651-800968812-4008709694-1001\...\Policies\Explorer: [] SearchScopes: HKU\S-1-5-21-3789591651-800968812-4008709694-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {13BCB9A3-F772-41D8-A8A0-2A33F8663D5C} - \WPD\SqmUpload_S-1-5-21-3789591651-800968812-4008709694-1001 -> Brak pliku Task: {35AB51A5-2184-4DFC-8FE7-162C5FEBC9F8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {76845743-0E88-4674-9D2E-11FF0912D116} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {860ABD85-5A71-42E7-AEBE-DF82EFB055B1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C4AC48EB-0C92-4E22-90AC-4CA84D0C8D58} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {CF05495D-16DC-4B35-A2C6-4E69B72888DD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

A jak wygląda sytuacja na innym pendrive?

W raportach brak oznak infekcji, system jest praktycznie w stanie świeżości. W raporcie UsbFix wykonanego z opcji Listing nie widzę żadnych podejrzanych obiektów. Rozważ zainstalowanie oprogramowania zabezpieczającego zamię Ci to dosłownie kilka minut, a w przyszłości może Ci naprawdę pomóc. Przy wyborze możesz posługiwać się serwisowym, autorskim materiałem na ten temat: Lista darmowych i komercyjnych programów zabezpieczających. Zdejmujemy z urządzenia F:\ wszystkie atrybuty, czyli: "tylko do odczytu" "systemowy" oraz "ukryty". 1. Otwórz menu Start, wyszukaj aplikację wiersza poleceń (CMD.EXE) > z prawokliku wybierasz "Uruchom jako administrator" i w oknie wklej attrib /d /s -r -s -h F:\* (pendrive ma być podłączony) 2. Sprawdź pendrivia i napisz jak wygląda sytuacja po tym działaniu?

Spróbuj z poziomu trybu awaryjnego (kliknij F8 przed startem systemu). Jeśli nie przyniesie to żadnych rezultatów to przejdź do następnego punktu.

Czy temat jest nadal aktualny?

Problem powoduję nowy wariant infekcji adware (modyfikujący usługę Themes). Przykład z forum: KLIK. Do tego w raportach widać jeszcze inne rodzaje adware. Moja pomoc ogranicza się do usunięcia infekcji z systemu, czyli: m.in naprawa kompozycji Aero. Zaczynamy. 1. Przez panel sterownia odinstaluj: amuleC YAC (Yet Another Cleaner!) 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Brojacz Problem powoduję zarażona przez adware usługa. Przykład z forum: KLIK. Do tego dochodzą jeszcze inne modyfikacje np.: podmiana ścieżki uruchomienia Google Chrome na szkodliwą prefabrykowaną. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\Easthas FirewallRules: [{63F16A48-95DB-401C-9A8C-F5A647C5C84E}] => C:\Program Files (x86)\Easthas\Application\chrome.exe HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2969896548-308945159-3511119151-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://www.nicesearches.com?type=hp&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g CHR StartupUrls: Default -> "hxxp://www.nicesearches.com?type=hp&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g" CHR DefaultSearchURL: Default -> hxxp://www.nicesearches.com/search.php?type=ds&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g&q={searchTerms} CHR DefaultSearchKeyword: Default -> nice S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5] S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X] U0 aswVmm; Brak ImagePath S3 X6va063; \??\C:\Windows\SysWOW64\Drivers\X6va063 [X] Task: {17303062-0492-4201-8615-5DD70EEFCE76} - Brak ścieżki do pliku Task: {C93F5B50-4539-462E-B6D9-095E5CA086C1} - Brak ścieżki do pliku AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118] C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\0\The Sims™ 3 Studenckie życie.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\1\Przeczytaj.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\2\Umowa Użytkownika.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\3\Centrum Pomocy.lnk Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw przeglądarkę Google Chrome jako domyślną. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy). 4. Napisz czy problem ustąpił.

Już byśmy kończyli, ale wkradła mi się literówka do skryptu. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint:FirewallRules: [{2606A3D9-EF0C-4BD2-8D86-0500C706C8B1}] => C:\Program Files (x86)\Coldjob\Application\chrome.exe FirewallRules: [TCP Query User{4A0FFA52-48D4-4D72-90C3-BD52962368F3}C:\program files (x86)\bedhat\application\chrome.exe] => C:\program files (x86)\bedhat\application\chrome.exe FirewallRules: [uDP Query User{E534F20B-DB8C-497B-A754-E55646B75AAD}C:\program files (x86)\bedhat\application\chrome.exe] => C:\program files (x86)\bedhat\application\chrome.exe RemoveDirectory: C:\ProgramData\ficfi RemoveDirectory: C:\ProgramData\cficf RemoveDirectory: C:\Users\MAG\AppData\Roaming\ibfib RemoveDirectory: C:\ProgramData\hadga RemoveDirectory: C:\ProgramData\hbeha RemoveDirectory: C:\ProgramData\hps RemoveDirectory: C:\ProgramData\jcfic RemoveDirectory: C:\ProgramData\jdgjc RemoveDirectory: C:\ProgramData\ttff EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy). 3. Podsumuj obecną sytuację.

1. Przez panel sterowania odisntaluj: amuleC, McAfee Security Scan Plus. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {1890E3A3-B36B-43C2-911B-72DE0C8F8989} - System32\Tasks\d064844f7814ad7c35be8f9196931919 => Rundll32.exe "C:\Program Files (x86)\DOSBox-0.72\gj5voc.dll",e62dc6c6547f46bda862da2d05af6862 Task: {4C71A57B-B49B-45F0-B4EF-C2542BF79DEF} - \PPI Update -> Brak pliku Task: {8484F60D-7F7C-452C-B9E3-C2BCD892DF7C} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {E3D4FAA7-8CA5-4B2A-A5E8-414D0F76CDC7} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) C:\Program Files (x86)\UCBrowser C:\ProgramData\ChelfNotify ShortcutWithArgument: C:\Users\biartyy\Desktop\Wurm Online.lnk -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://www.wurmonline.com/client/wurmclient.jnlp "C:\Users\biartyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\5fef8269-5fc80b7e" ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wurm Online\Wurm Online.lnk -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://www.wurmonline.com/client/wurmclient.jnlp "C:\Users\biartyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\5fef8269-5fc80b7e" ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Setmy\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5993945003975900\Google Chrome.lnk -> C:\Program Files (x86)\Setmy\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk HKU\S-1-5-18\...\Run: [] => 0 Startup: C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monhost.lnk [2016-10-27] ShortcutTarget: monhost.lnk -> C:\Users\biartyy\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe (Brak pliku) GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKU\S-1-5-21-1339383410-1821958394-229966200-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKU\S-1-5-21-1339383410-1821958394-229966200-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKU\S-1-5-21-1339383410-1821958394-229966200-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKU\S-1-5-21-1339383410-1821958394-229966200-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO: Brak nazwy -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku S2 WISvc; C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCacher.dll [X] R2 ed2kidle; C:\Program Files (x86)\amuleC\ed2k.exe [237568 2016-11-02] (hxxp://www.amule.org/) [brak podpisu cyfrowego] C:\Program Files (x86)\amuleC R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160128.003\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160128.003\EX64.SYS [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\biartyy\AppData\Local\Mozilla C:\Users\biartyy\AppData\Roaming\Mozilla C:\Users\biartyy\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\Programdata\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\biartyy\AppData\Local CMD: dir /a C:\Users\biartyy\AppData\LocalLow CMD: dir /a C:\Users\biartyy\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw Google Chrome jako domyślną przeglądarkę. 4. Użyj (najnowszej wersji) AdwCleaner (teraz powinno Ci się udać) uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 5. Wygeneruj nowe raporty FRST (bez GMER).