Miszel03

OK.

Jaka akcja została podjęta dla plików znalezionych przez Malwarebytes? Kazałeś je usunąć czy przenieść do kwarantanny (tak jak prosiłem)?

Kolejna część walki z adware.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
IFEO\MRT.exe: [Debugger] C:\ProgramData\ficfi\Gubed.exe -Yrrehs
RemoveDirectory: C:\ProgramData\ficfi
RemoveDirectory: C:\ProgramData\cficf
RemoveDirtectory: C:\Users\MAG\AppData\Roaming\ibfib
RemoveDirtectory: C:\ProgramData\hadga
RemoveDirtectory: C:\ProgramData\hbeha
RemoveDirtectory: C:\ProgramData\hps
RemoveDirtectory: C:\ProgramData\jcfic
RemoveDirtectory: C:\ProgramData\jdgjc
RemoveDirtectory: C:\ProgramData\ttff
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [568320 2016-12-07] () [brak podpisu cyfrowego] 
R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5]
S2 Convxxxx; "C:\Users\MAG\AppData\Roaming\ibfib\UvConverter.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X]
C:\ProgramData\QQBrowser
FirewallRules: [{28CE2551-AF7A-4A6B-8DF0-F97D17FA3F03}] => C:\ProgramData\Nosemay\Nosemay.exe
File: C:\WINDOWS\system32\Drivers\etc\hosts
EmptyTemp:

Klucz wygląda w porządku. 

Jak wygląda aktualna sytuacja z pracą systemu? Tak jak poprzednio? 

Zrób nowy log FRST (bez Addition i Shortcut).

Raport wygląda w porządku, ale poproszę jeszcze o pełny skan klucza winmgmt.

Uruchom SystemLook i do okna wklej:

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s

Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum. 

Nie ma tutaj za dużo do robienia. W działaniach: kasacja śmieciowego rozszerzenia Fast Serach ze wszystkich przeglądarek (Google Chrome / FireFox / Opera), kasacja pustych wpisów, oraz podejrzanych aplikacji PublicHotspot / 52U64IUBLR (jeśli znasz te aplikacje i im ufasz to nie wykonuj niczego, tylko mnie o tym poinformuj).

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
ShellExecuteHooks:  - {B9320EEE-AB3C-11E6-BA01-64006A5CFC23} - C:\Users\Andreas\AppData\Roaming\Jaberge\Ckesuge.dll Brak pliku [ ]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
HKU\S-1-5-21-3424310977-905981195-1643685065-1000\...\Run: [Z9IV33V8VG] => C:\Program Files\52U64IUBLR\52U64IUBL.exe [369664 2016-12-06] ()
HKU\S-1-5-21-3424310977-905981195-1643685065-1000\...\Run: [LQ5OZUDT43] => "C:\Program Files (x86)\PublicHotspot\NL2Q52MB0W.exe"
C:\Program Files\52U64IUBLR
C:\Program Files (x86)\PublicHotspot
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
FF Extension: (Fast search) - C:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\Profiles\6g9xw1bo.Domyślny użytkownik\Extensions\amcontextmenu@loucypher [2016-12-06]
CHR Profile: C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-06] 
CHR Extension: (Fast search) - C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
CHR Extension: (Fast search) - C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
OPR Extension: (Fast search) - C:\Users\Andreas\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
S2 0119751480613722mcinstcleanup; C:\Users\Andreas\AppData\Local\Temp\011975~1.EXE -cleanup -nolog [X]
U0 aswVmm; Brak ImagePath
ShortcutWithArgument: C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Cabinets\Set Redwires Folder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Install Head.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Curve Designer.lnk
C:\Users\Andreas\Desktop\Play WarThunder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cyberfox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Engine 2\Engine 2.lnk
C:\Users\Andreas\Desktop\PuL\Vuze.lnk
C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XeroBank\Activate your Account.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikwoy).

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

W raportach brak oznak infekcji. Jednak musimy rozszerzyć diagnostykę, bo poniższe wpisy sugerują uszkodzenie usługi winmgmt.

Sprawdź usługę "winmgmt" lub napraw WMI.
Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI.

Wykonaj raport z narzędzia Farbar Service Scanner (FSS).

W raportach brak oznak aktywnej infekcji, widać tylko szczątki po innych infekcjach typu adware (czyli: szkodliwe zmodyfikowany plik Hosts oraz mapa domen w przeglądarce Internet Explorer). Mam jeszcze pytanie: czy jest Ci znany poniższy plik?

C:\Users\Paulina2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\czysc_temp.bat 

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-528719921-3342016946-942049042-1004\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-528719921-3342016946-942049042-1004\Control Panel\Desktop\\SCRNSAVE.EXE ->
C:\Users\Paulina2\Desktop\filmora_setup_full846.exe.lnk
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Hosts:
EmptyTemp:

Ten raport jest ze skanowania, a nie ze usuwania. Raport z usuwania oznaczony jest literką C, a nie S. Wygląda to już lepiej, niedługo będziemy kończyć.
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\fibfi
C:\ProgramData\ficfi
C:\ProgramData\hadga
C:\ProgramData\hbeha
C:\ProgramData\hps
C:\ProgramData\icfib
C:\ProgramData\jcfic
C:\ProgramData\jdgjc
C:\ProgramData\ttff
AppInit_DLLs: , => Brak pliku
FF ProfilePath: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default [2016-12-06]
FF user.js: detected! => C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\user.js [2016-10-17]
FF NewTab: Firefox\Firefox\Profiles\2263ujb8.default -> hxxp://www.nicesearches.com?type=hp&ts=1464610878&from=0d580530&uid=toshibaxmq01abd075_y34tpqedtxxy34tpqedt&z=9b32b6762b14a45560bc07cg8z9q5zcqag6e0b9m9z
FF Homepage: Firefox\Firefox\Profiles\2263ujb8.default -> hxxp://www.searchinme.com/?type=hp&ts=1476877970752&z=050cfae7b4fa518f0cb8fc9g2z9b7eft0c3c3q0m3q&from=official&uid=TOSHIBAXMQ01ABD075_Y34TPQEDTXXY34TPQEDT
FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\nice.xml [2016-10-17]
FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\nuesearch.xml [2016-09-14]
FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\searchinme.xml [2016-10-19]
2016-12-06 19:48 - 2016-12-06 19:48 - 00000000 ____D C:\Users\MAG\AppData\Local\Coldjob
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
Hosts:
EmptyTemp:

• Postępuj zgodnie z kreatorem instalacyjnym, przy instalacji odznacz okres testowy.
• Po instalacji uruchom ponownie komputer.
• Interfejs MalwareBytes > Skanowanie > Pełne Skanowanie systemu > Podczas skanowania nic nie rób, po prostu czekaj.
• Po zakończeniu skanu, jeżeli program coś wykryje to wszystkie zagrożenia przeniesiesz do kwaranntany Po tym będzie wymagane ponowne uruchomienie komputera, zaraz po tym wyskoczy raport ze skanowania, który zaprezentujesz na forum. 

3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Tak jak podejrzewam po oznakach w raportach, ten wariant szkodnika (Ransomware Locky) nie jest do końca poznaną infekcją, - deszyfracja pików jest na tą chwilę nie wykonalna (i w przyszłości też raczej marne szanse na to, powodem jest bardzo silny szyfrator AES). Jeśli nie miałeś kopii zapasowej tych danych to one przepadły - dlatego tak ważne jest ich tworzenie.

Z góry informuję, że zalecane jest wykonanie kompleksowe reinstalacji systemu (nie znamy dokładnie wszystkich możliwość wariantu). Jeśli jednak zdecydujesz się leczyć / czyścić system to dostarcz nowe raporty systemowe FRST. 

W raportach brak oznak infekcji.

Możesz już usunąć narzędzia diagnostyczno / dezynfekcyjne - KLIK.

Tak właśnie myślałem, kończymy.

Usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK.

Jest już w porządku z wyjątkiem tego (czyli śmieciowej wyszukiwarki):

CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=100842&mntrId=56b550450000000000006c626dc62f32

Można by się bawić w odczytywanie preferencji itd. ale zdecydowanie szybciej będzie Ci na czysto przeinstalować przeglądarkę Google Chrome.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

Skasuj folder C:\AdwCleaner po czym na nowo pobierz i uruchom AdwCleaner'a. 

1. Uruchom AdwCleaner kliknij skanuj, a następnie oczyść (wyniki zweryfikowane, nadają się do usunięcia). Jak poprzednio dostarcz raport z tego działania. 

2. Zrób nowy log FRST z opcji Skanuj (Scan), razem z Addition i Shortcut. 

5. ostatniego pliku nie moge odszukać ani nawet folderu E:\System Volume Information

 

On jest na dysku E:\ ale możemy to pominąć bo to folder przywracania, który i tak będziemy czyścić.

Pozostałe pliki skasuj ręcznie.

a drobniutkie, nieszkodliwe pliki wykryte przez AdwCleaner'a skasuj tzn. uruchom ponownie skanowanie, a potem czyszczenie - dostarcz raport z tego działania.

Gdzie ten raport?

Napisz jak oceniasz obecną sytuacje. 

Brak raportu z przeprowadzenia dezynfekcji przez AdwCleaner'a - dostarcz go. W systemie / raportach jak już wcześniej wspominałem widoczne liczne adware (m.in SearchesToYesbnd, Nosemay, nicesearches, nuesearch). Przypuszczalnie nie działa Ci również kompozycja Aero, jest to wynik infekcji. Od razu przechodzimy do działań bardziej ręcznych, ale i tak wrócę jeszcze do czyszczenia automatami. 
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adva3d10] => C:\Users\MAG\AppData\Roaming\cdptcli\aeevispl.exe [524288 2015-12-04] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advavel9] => C:\Users\MAG\AppData\Roaming\cemaider\aeevispl.exe [524288 2016-01-12] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advp10_1] => C:\Users\MAG\AppData\Roaming\certtenc\amsiices.exe [524288 2016-02-05] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsncapi] => C:\Users\MAG\AppData\Roaming\capicca\advaecsp.exe [524288 2016-02-08] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsn3d32] => C:\Users\MAG\AppData\Roaming\catsosys\advaeter.exe [524288 2016-03-03] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnGSM7] => C:\Users\MAG\AppData\Roaming\catsosys\advaeter.exe [524288 2016-03-03] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnSCII] => C:\Users\MAG\AppData\Roaming\catsmapi\advabcd.exe [524288 2016-03-09] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnd3d9] => C:\Users\MAG\AppData\Roaming\Certwmdm\advaperf.exe [524288 2016-04-14] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advp0_43] => C:\Users\MAG\AppData\Roaming\cfgmdiag\amsikbox.exe [524288 2016-05-10] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpfCdp] => C:\Users\MAG\AppData\Roaming\ChakgIME\amsiTVID.exe [524288 2016-06-14] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpclen] => C:\Users\MAG\AppData\Roaming\charclb\amsianui.exe [524288 2016-07-12] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpider] => C:\Users\MAG\AppData\Roaming\charis-2\amsianui.exe [524288 2016-07-15] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [aeevtlib] => C:\Users\MAG\AppData\Roaming\clbonfg\amstview.exe [524288 2016-09-20] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [amsilder] => C:\Users\MAG\AppData\Roaming\cmluutil\apdsrvps.exe [524288 2016-09-24] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsntnet] => C:\Users\MAG\AppData\Roaming\cabitons\advaavrt.exe [524288 2016-10-17] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advad3d9] => C:\Users\MAG\AppData\Roaming\catsosys\advprypt.exe [524288 2016-11-08] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adva8thk] => C:\Users\MAG\AppData\Roaming\catsosys\advprypt.exe [524288 2016-11-08] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advadxof] => C:\Users\MAG\AppData\Roaming\cdprtcli\aeevProv.exe [524288 2016-11-09] ()
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advaider] => C:\Users\MAG\AppData\Roaming\certtmgr\aeevwcli.exe [524288 2016-12-06] ()

C:\Users\MAG\AppData\Roaming\cdptcli
C:\Users\MAG\AppData\Roaming\cemaider
C:\Users\MAG\AppData\Roaming\certtenc
C:\Users\MAG\AppData\Roaming\capicca
C:\Users\MAG\AppData\Roaming\catsosys
C:\Users\MAG\AppData\Roaming\catsmapi
C:\Users\MAG\AppData\Roaming\Certwmdm
C:\Users\MAG\AppData\Roaming\cfgmdiag
C:\Users\MAG\AppData\Roaming\ChakgIME\amsiTVID.exe
C:\Users\MAG\AppData\Roaming\charclb\amsianui.exe
C:\Users\MAG\AppData\Roaming\charis-2\amsianui.exe
C:\Users\MAG\AppData\Roaming\clbonfg\amstview.exe
C:\Users\MAG\AppData\Roaming\cmluutil\apdsrvps.exe
C:\Users\MAG\AppData\Roaming\cabitons\advaavrt.exe
C:\Users\MAG\AppData\Roaming\cdprtcli\aeevProv.exe
C:\Users\MAG\AppData\Roaming\certtmgr\aeevwcli.exe

AppInit_DLLs: C:\Windows\system32\nvinitx.dll => Brak pliku
AppInit_DLLs: ,C:\WINDOWS\system32\nvinitx.dll => Brak pliku
IFEO\MRT.exe: [Debugger] C:\Program Files (x86)\SearchesToYesbnd\_ALLOWDEL_27bfc\Gubed.exe -Yrrehs
C:\Program Files (x86)\SearchesToYesbnd
GroupPolicy: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> {FA9EC097-C43E-4767-866A-E31FA5272B20} URL = 
Edge HomeButtonPage: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> hxxp://www.nuesearch.com/?type=hp&ts=1465910606&z=37c7bcedfe0fcd79fcd0425g1zfq5w1t1g7e5q4e5z&from=wpm0614&uid=TOSHIBAXMQ01ABD075_Y34TPQEDTXXY34TPQEDT
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\2263ujb8.default -> luck
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\2263ujb8.default -> luck
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\2263ujb8.default -> luck
FF DefaultSearchEngine: Firefox\Firefox\Profiles\2263ujb8.default -> nice
FF SearchEngineOrder.1: Firefox\Firefox\Profiles\2263ujb8.default -> nice
FF SelectedSearchEngine: Firefox\Firefox\Profiles\2263ujb8.default -> nice
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [622080 2016-11-29] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5]S2 NosemayP; C:\ProgramData\Nosemay\Nosemay.exe [400264 2016-05-30] ()
S2 NosemayU; "C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe" [X]
C:\Program Files (x86)\Nosemay
C:\ProgramData\Nosemay
Task: {1F357729-9984-4DAB-87F8-E84F39AF8EE7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {3DD526DA-F673-45CE-9002-14D1BC99DBD4} - System32\Tasks\NosemayUpdateTaskMachineCore => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {4E26A63E-55E5-48A4-9E07-B46D50710A89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {4E77BBE4-2C07-47A4-B58F-2A23B9C6D037} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {52A92279-2FDA-4755-AAE5-DC6FE44B503B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {7617830F-3E2E-4E14-BC84-8D8F0FDDD5BD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7E519C3A-0D56-4C31-9AE4-5B2FBBD9429D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {85097416-4841-491B-B87F-ABC07F723D5B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8BDB08BD-4D81-4A04-9149-8E9C34024CA0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A1314326-5C03-448B-B853-3FA02E67EE70} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {B1AD7971-CD5B-4CA2-AD61-92C25DD1FE39} - System32\Tasks\NosemayUpdateTaskMachineUA => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {D03E6501-354B-426D-9A6E-FAE0898D99BC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D60BA628-7A6A-4E69-AB00-993837E0D6EB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Coldjob\Application\chrome.exe (Google Inc.)
C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Coldjob\Application\chrome.exe (Google Inc.)
C:\Program Files (x86)\Coldjob
C:\Users\MAG\AppData\Local\Coldjob
C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\MAG\AppData\Local
CMD: dir /a C:\Users\MAG\AppData\LocalLow
CMD: dir /a C:\Users\MAG\AppData\Roaming
Hosts:
EmptyTemp:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Wyczyść FireFox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

4. Użyj >> Junkware Removal Tool
 
Po uruchomieniu:

• Postępuj zgodnie z instrukcją wyświetlaną w programie.
• Gdy skanowanie oraz usuwanie zakończy się, uruchomi się plik z raportem.
• Raport wkleisz na wklej.org lub załączysz jako załącznik na forum.

5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Wygląda, że jest wszystko w porządku. Ask'a nie widzę, G Data też śmiga.

 OK.

 

Error: (12/01/2016 02:56:42 PM) (Source: Ntfs) (EventID: 55) (User: )

Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku.

Uruchom narzędzie chkdsk na woluminie System.

 

Error: (12/01/2016 02:12:11 PM) (Source: Disk) (EventID: 11) (User: )

Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1.

Te wyniki należny zweryfikować - załóż temat w dziale Hardware. 

W raport widoczna sporo ilość  infekcji adware / PUP, od razu przechodzimy do działań. 
 
1. Przez panel sterowania odinstaluj:

• Reimage Repair
• WarThunder

2. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
Task: {53484938-98A7-4F6D-8297-DD7BE6D2EC86} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe Task: {69F2799D-9EF1-4305-B274-38AC178ABEDA} - System32\Tasks\InternetBE => Chrome.exe hxxp://inform-world.ru/watch
Task: {DED54E52-A35B-4FA2-B976-1F272BF59D20} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe ShortcutWithArgument: C:\Users\Dejw\Desktop\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900
ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900
ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811035"
ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900
HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\ppt\Uninst.exe
HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818411
HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
SearchScopes: HKU\S-1-5-21-2448206972-1435992067-1411047560-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B54547D9B-B600-49ED-8338-D87141E91296%7D&gp=811041
SearchScopes: HKU\S-1-5-21-2448206972-1435992067-1411047560-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B54547D9B-B600-49ED-8338-D87141E91296%7D&gp=811041
BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Dejw\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-12-04] (Mail.Ru)
C:\Program Files (x86)\YTDownloader
C:\Program Files (x86)\ppt
CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=100842&mntrId=56b550450000000000006c626dc62f32
U0 aswVmm; Brak ImagePath
2016-12-04 17:52 - 2016-12-05 20:54 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2016-12-04 17:49 - 2016-12-05 20:54 - 00000000 ____D C:\Users\Dejw\AppData\Local\Mail.Ru
2016-12-04 17:49 - 2016-12-04 18:52 - 00000000 ____D C:\ProgramData\Mail.Ru
C:\Users\Dejw\Desktop\Internet Download Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack\Uninstall.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Dejw\AppData\Local\Mozilla
C:\Users\Dejw\AppData\Roaming\Mozilla
C:\Users\Dejw\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\Programdata\Mozilla
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Dejw\AppData\Local
CMD: dir /a C:\Users\Dejw\AppData\LocalLow
CMD: dir /a C:\Users\Dejw\AppData\Roaming
Hosts:
EmptyTemp:

 
2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
 
3. Zrób nowy log FRST z opcji Skanuj (Scan), razem z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Programy pomyślnie odinstalowane, wyniki AdwCleaner zweryfikowane, wieć możesz przejść do akcji dezynfekcji w tym programie.

1. Uruchom AdwCleaner kliknij Skanuj, a następnie Oczyść, podobnie jak poprzedni dostarcz raport z tego działania. 

2. Wygeneruj nowe raporty FRST (bez GMER). 

Dostarcz raporty systemowe FRST. 

Problem prawdopodobnie również w Twoim przypadku tworzy adware, przykłady z forum: KLIK, KLIK.

Na razie nie podaję żadnych innych działań prócz deinstalacji produktów adware i skanowania systemu pod ich kątem. W systemie jest ogromne wysypisko śmieci, więc do pewnego momentu będę posługiwać się automatami.

1. Przez panel sterowania odinstaluj:

• amuleC
• amuleC
• aMuleCustom
• WinZip 
• YAC(Yet Another Cleaner!) 
• Uncheckit 
• qksee 

2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

3. Wygeneruj nowe raporty FRST (bez GMER). 

Radzę dobrze, żeby zacząć myśleć nad przeprowadzką z XP (on już nie ma wsparcia Microsoft) na co najmniej Windows 7. Powódem jest oczywiście dużo zagrożenia infekcja (dużo nie łapanych luk itd)

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia ? SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{E7A37920-253C-4FF1-B169-298A7CE6CAA9}\localserver32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\Dropbox.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE1-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE2-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FBC9D74C-AF55-4309-9FB2-C426E071637F}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1940DBE8 [370]
EmptyTemp: 

C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\10000001b00002i\msiexec.exe
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\1000000b00002i\verclsid.exe
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000008c00002i\offlb.exe
E:\System Volume Information\_restore{41CD2F82-42C1-45B0-805E-D00B54D60369}\RP214\A0096337.exe

W raportach brak oznak infekcji, nie ma śladu po wyszukiwarce Yahoo.

1. Przez Panel sterownia odinstaluj: McAfee Security Scan Plus (nabyte przypuszczalnie jako sponsor pobierania, zresztą nie potrzebujesz go choćby dlatego, że i tak Twoim oprogramowaniem zabezpieczającym jest McAfee Internet Security), Akamai NetSession Interface (zbędnik).

W skrypcie: kasacji pustych skrótów oraz CLSID.

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-647964530-2040888843-2415202527-1001\...\Policies\Explorer: []
CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku
CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku
CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\pl-PL\acadficn.dll => Brak pliku
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chaos Group\V-Ray for SketchUp demo\Documentation\V-Ray for SketchUp Online Documentation.lnk 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rhinoceros 5\Rhinoceros 5.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rhinoceros 5\Rhinoceros 5 in Safe Mode.lnk
EmptyTemp:

yahoo*.*

yahoo