Miszel03

Nie znam osób wykwalifikowanych 

Wszyscy moderatorzy Fixitpc.pl to specjaliści w swoich dziedzinach. Nie ma obaw, że odmówimy pomocy.

Picasso (dwukrotna laureatka MVP Consumer Security) bardzo rozważnie wybiera ludzi do pomocy. 

A trening czyni mistrza 

Rozumienie rejestru (w języku angielskim)

Jak wspomniałem obszar rejestru Windows jest obszarem krytycznym. Jeśli używasz go do przyswajania wiedzy to rób to w środowisku izolowanym (instalacja osobnego systemu przy użyciu maszyny wirtualnej). 

Teraz skończyło się to łagodnie, ale na własne oczy widziałem zdewastowane dane rejestru do tego stopnia, że musiałem zarwać kilka nocy, żeby całościowo go odbudować i pomóc użytkownikowi.

Rozumiem, że uruchomiłeś funkcje Przywracania z poziomu Naprawy?

Pozmieniałam coś w rejestrze i nie otwierają mi się pliki exe..

Na przyszłość: rejestr jest obszarem krytycznym, proszę manipulować nim tylko pod okiem osoby wykwalifikowanej. 

Temat rozwiązany.

Dostałem informacje od Groszka, że dysk wygląda w porządku.

Polecacie jeszcze jakies programy do sprawdzenia dysku?

CrystalDiskInfo posiada prosty w zrozumieniu interfejs. 

Pokaż jeszcze proszę raport FRST, muszę zweryfikować pewną nieprawidłowość, która widoczna była w poprzednim.

Miło mi, że mogłem pomóc.

Temat zamykam.

Jaki pojawia się komunikat podczas próby uruchomienia pliku wykonywalnego?  

Teraz nie mogę wejść nawet do rejestru, żeby to zmienić, ani w przywracanie systemu (w sumie nie pamiętam, czy mam włączone).

Rozumiem, że z poziomu normalnego Windows nie możesz uruchomić Przywracania?

W takim razie przejdź do Trybu awaryjnego, a następnie wybierz Napraw komputer. Potem kolejno wybierz język klawiatury (Polski, programisty) i zaloguj się na konto użytkownika. W załadowanym oknie skorzystaj z Przywracania systemu i wykonaj je do najnowszego dostępnego punktu przywracania.

Jeśli jest tak jak mówisz - nie było włączonej funkcji Przywracania będziemy myśleć dalej.

Wszystkie zalecone akcje zostały pomyślnie wykonane. Infekcja usunięta. 

Niestety podczas skanowania Malwarebytes wyskoczyło 5 problemów.

To detekcje PUP w stanie szczątkowym (pojedyncze klucze w rejestrze). Wykonaj skan ponownie i zastosuj akcję Usuń dla wszystkich wyników. 

Przesyłam pliki skanowania FRST po naprawie (...)

Za pomocą kombinacji klawiszy SHIFT + DELETE (omijanie kosza) skasuj poniższe martwe skróty / lokalizacje (z tego co widzę gra Postal nie jest zainstalowana):

• C:\Users\Bartek\Desktop\Postal 2 PL.lnk
• C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Postal 2 PL

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

W raportach widoczna jest infekcja uruchamiana przez wiersz poleceń. Podobny temat z tą samą infekcją: KLIK. 

Przeprowadź następujące działania (dezynfekcja oraz czyszczenie szczątek po oprogramowaniu / martwych wpisów / lokalizacji tymczasowych (w tym czyszczenie kosza):

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
HKU\S-1-5-21-1868502681-3022822754-2520019933-1001\...\MountPoints2: {c64b12cd-fc9d-11e7-9a64-0c5b8f279a64} - "E:\LG_PC_Programs.exe" 
HKU\S-1-5-21-1868502681-3022822754-2520019933-1001\...\Command Processor: @mode 15,1 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Admin\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Admin\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) 
C:\Users\Admin\AppData\Roaming\Microsoft\SoundMixer
ShortcutTarget: System.lnk -> C:\appzip\windowsx10.exe (Brak pliku)
Folder: C:\appzip
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie brakującym Shortcut. Dołącz też plik fixlog.txt.

Okej, mam instrukcję od Groszka, którymi zostanie sprawdzony dysk. 

Uruchom GSmartControl z poziomu WinRe, następnie wybierz dysk, zapisz log "save as" i wrzuć na jakiś hosting (np. na MediaFire). 

Kluczową opinie wyda tutaj Groszek (moderator, o którym wspominałem wyżej) i cierpliwie poczekałbym na to. Na razie niestety brak dowodów na to, że zawiniła sfera oprogramowania, więc nie ma co decydować się na reinstalacje. 

Według mnie problem jest z dyskiem, który jest uszkodzony logicznie i niepoprawnie odczytuje dane (być może to niestabilne sektory).

Założyłeś dwa identyczne tematy - jeden z nich skasowałem, ten staje się wątkiem, w którym będzie prowadzona pomoc.

Raport został wygenerowany z poziomu środowiska WinRe i to niestety uzasadnione użycie.

System jest całkowicie uszkodzony (albo źle odczytywany), widoczna masa odczytów brakujących plików ładujących Windows. Problem wystąpił nagle, czy było coś ruszane w systemie od strony użytkownika? 

Kluczowe jest to czy masz tam ważne dane, bo jeśli dysk jest w rozsypce (a obstawiam taką postać rzeczy) to trzeba działać szybko i sprawnie, żeby je odzyskać. Nie wiem czy odpalanie z poziomu Linux będzie miało sens. 

Powiadomiłem moderatora działu Hardware, by spojrzał na to.

Rzeczywiście, najmocniej przepraszam za zamieszanie. 

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne do wykonania.

Temat przenoszę do działu Windows 7 gdzie będzie prowadzona dalsza pomoc. Spróbuj odinstalować swój program antywirusowy (BitDefender) i sprawdź rezultaty. 

CloseProcesses:
CreateRestorePoint:
C:\Users\xxx\Searches\Desktop\aaa KASIA\pendrive_ dokumenty\Gothic II Złota Edycja.lnk
C:\Users\xxx\Searches\Desktop\aaa KASIA\pendrive_ dokumenty\PITy 2008.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Office\Niedawny\2DOKUMENTY@@@.LNK
C:\Users\xxx\AppData\Roaming\Microsoft\Office\Niedawny\CV_nowe_11.2016.doc.LNK
C:\Users\xxx\AppData\Roaming\Microsoft\Office\Niedawny\CV_nowe_foto2.doc.LNK
C:\Users\xxx\AppData\Roaming\Microsoft\Office\Niedawny\Dysk wymienny (I).LNK
C:\Users\xxx\AppData\Roaming\Microsoft\Office\Niedawny\Jak wiadomo w naszej szkole od kilku lat pisane są zarówno na koniec pierwszego.docx.LNK
C:\Users\xxx\AppData\Roaming\Microsoft\Office\Niedawny\PKN ORLEN.LNK
C:\Users\xxx\AppData\Roaming\Microsoft\Office\Niedawny\PRACA.LNK
C:\Users\xxx\AppData\Roaming\Microsoft\Office\Niedawny\PRAGA PŁD_U m.st.W-wy.LNK
C:\Users\xxx\AppData\Roaming\Microsoft\Office\Niedawny\ynka_300A549E94DB (1).doc.LNK
C:\Users\xxx\AppData\Roaming\Microsoft\Office\Niedawny\ynka_300A549E94DB.doc.LNK 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
S4 fshoster; Brak ImagePath
S4 MotoConnect Service; Brak ImagePath
S3 catchme; \??\C:\Users\xxx\AppData\Local\Temp\catchme.sys [X]
S3 CFcatchme; \??\C:\Users\xxx\AppData\Local\Temp\CFcatchme.sys [X]
S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X]
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
S3 lmimirr; Brak ImagePath
S3 Synth3dVsc; Brak ImagePath
S3 tsusbhub; Brak ImagePath
S3 VGPU; Brak ImagePath
S3 XDva397; \??\C:\Windows\system32\XDva397.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Wydaję mi się, że raporty zostały zmodyfikowane, prawda?

Nazwy użytkowników są podmienione:

-----> Załadowane profile: Kasia (Dostępne profile: Kasia & Gość)

...większość ścieżek wygląda tak:

-----> C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

...czyli odwołuje się do konta użytkownika, które nie istnieje.

Proszę dostarczyć niemodyfikowany zestaw raportów, a jeśli rzeczywiście nazwa użytkownika jest dla Ciebie tak osobista to proszę skorzystać z funkcji CurrentUserName.

Proszę o dostarczenie brakującego raportu Shortcut.

Jeśli nie został wygenerowany proszę odpowiednio zaznaczyć opcje.

Miło mi, że mogłem pomóc. 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
Malwarebytes również możesz odinstalować.

Temat zamykam. 

Tu mam praktycznie wszystko już załatwione - pozostał problematyczny AVG i drobne szczątki, które teraz są nieistotne. Od strony "infekcyjnej" system wydaję się być doprowadzony do porządku.

1. Przejdź do folderu C:\Program Files\AVG w podfolderze Setup odnajdź plik instalacyjny i spróbuj go wykonać (jeśli nie będzie go pobierz AVG na nowo - może być najnowsza wersja). Instalacja powinna zostać naprawiona, więc odinstaluj ją przez Panel Sterownia.

2. Podsumuj obecny stan systemu i przedstaw ponownie pełny zestaw raportów FRST. 

P.S: Nad pendrivem muszę pomyśleć. 

Obecnie całość wygląda w porządku. Infekcja usunięta.

Jak podsumowujesz obecną sytuację? Czy problem, z którym się zgłosiłeś ustąpił? 

W systemie działa infekcja uruchamiana przez wiersz poleceń. Powinniśmy szybko się z tym uporać. 
 
Dodatkowo zajmę się kasacją martwych skrótów / wpisów / plików tymczasowych (w tym czyszczenie kosza) / resztek po oprogramowaniu m.in po Avast i Google Chrome. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CloseProcesses:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms 2 [GOG.com]\Manual.lnk -> E:\Worms 2\manual.pdf
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms 2 [GOG.com]\Uninstall Worms 2.lnk -> E:\Worms 2\unins000.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms 2 [GOG.com]\Worms 2.lnk -> E:\Worms 2\GOGLauncher.exe
C:\Users\zwyro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Worms 2\Worms 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio\Android Studio.lnk
C:\Users\zwyro\Links\MEGA.lnk
C:\Users\zwyro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\23 Mod\23 MoD.lnk
C:\Users\zwyro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avast Secure Browser.lnk
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {36EECAE1-3E34-4A61-8394-42D7F23F0455} - \Microsoft\Windows\WwanSvc\NotificationTask -> Brak pliku Task: {67889EEC-D7B4-43D3-B82C-D0DBA3522591} - \Microsoft\Windows\WCM\WiFiTask -> Brak pliku Task: {BC40FCF6-98AA-466D-98D4-D4D532C3007D} - \Microsoft\Windows\NlaSvc\WiFiTask -> Brak pliku Task: {6C76BBC2-DE4B-4C6B-B586-5F14E96799D8} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia - Windows Defender HKU\S-1-5-21-305178186-2251966430-3923819851-1001\...\Command Processor: @mode 15,1 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\zwyro\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\zwyro\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) C:\Users\zwyro\AppData\Roaming\Microsoft\SoundMixer
S2 VMnetDHCP; C:\WINDOWS\SysWOW64\vmnetdhcp.exe [X]
S3 AndnetBus; \SystemRoot\System32\drivers\lgandnetbus64.sys [X]
S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X]
S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X]
2018-03-24 14:39 - 2016-03-12 14:28 - 000000000 ____D C:\ProgramData\AVAST Software
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp:

W porządku.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Raporty wyglądają już OK. Jak podsumowujesz obecną sytuację?

- IE - 2 razy robiłem wg instrukcji, nadal jest 1 spacja z tego co widzę.

Tak, ale wydaję mi się, że ten argument zostanie poprawnie odczytany.

Zastanawia mnie to, że w Windows Defenderze mam pliki wykluczone ze skanowania. To w porządku? Załączam plik z listą.

Cała lista to komponenty malware / adware. Proszę je usunąć z listy wykluczeń, ale spokojnie - to już nie stwarza zagrożenia - po prostu nie w przyszłości takie dane nie byłyby skanowane. 

Też zastanawiam się nad tym .Net Framework o którego zainstalowanie byłem proszony po starcie systemu. (Załącznik AD.2 z poprzednich postów) Wyglądało to na systemowe okienko. Mam się tym nie przejmować?

Nie przejmowałbym się tym. Wygląda na to, że rzeczywiście jakieś aplikacje wymagają .NET Framework - jeśli okno wyskoczy ponownie proszę wdrążyć aktualizację (i zwrócić uwagę czy na pewno odbywa się to przez Windows Update). 

Z mojego punkty widzenia też już wszystko powinno być w porządku. Cieszę się, że mogłem pomóc! 

1. Uruchom przeglądarkę Mozilla FireFox, a następnie użyj kombinacji klawiszy CTRL + SHIFT + A > otworzy się Menedżer dodatków > przejdź do karty Rozszerzenia > z listy wybierz podejrzane __MSG_appName__ i kliknij Usuń. 

2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

==================== Centrum zabezpieczeń ========================
 
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Malwarebytes możesz odinstalować, choć z tego co widzę aktywowałeś okres próbny aplikacji (czyli składnik ochrony w czasie rzeczywistym jest włączony). Do jego wygaśnięcia możesz przy nim pozostać - później stanie się on jedynie skanerem na żądanie. 

Sugeruję więc skorzystać z naszej autorskiej listy oprogramowania zabezpieczającego i wybrać odpowiedni dla siebie pakiet zabezpieczający, ewentualnie możesz poprosić o pomoc w wyborze zakładając stosowany temat w dziale Oprogramowanie zabezpieczające.

Operacje pomyślnie wykonane. Zbliżamy się do finalizacji tematu!

1. Zagrożenia (większość to szczątki) wykryte przez Malwarebytes daj do kasacji, a następnie powtórz skan w celu potwierdzenia wyniku zero detekcji.

2. Przez SHIFT + DELETE (omijanie kosza) skasuj:

     - szczątkowy folder adware: C:\Users\byrdz\AppData\Local\AdService 

     - szczątkowe foldery po oprogramowaniu Kazrog - C:\Program Files (x86)\Kazrog i C:\Users\byrdz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kazrog (w katalogu została już chyba tylko instrukcja). 

3. Podsumuj obecny stan systemu. 

Wszystkie zadane działania zostały pomyślne wykonane. Przechodzimy do poprawek mających na celu usunąć szczątki infekcji. 

Proszę mnie upewnić: przeglądarka Opera nie jest zainstalowana, prawda? Jeśli nie to proszę przejść dalej: 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
C:\Program Files (x86)\ShutdownTime
C:\Users\byrdz\AppData\Local\ca82a53784824e738c137e50727f8f1a
C:\Users\byrdz\AppData\Local\InstallationConfiguration.xml
C:\Users\byrdz\AppData\Local\installer.dat
C:\Users\byrdz\AppData\Local\po.db
C:\Users\byrdz\AppData\Roaming\FastDataX
C:\Users\byrdz\AppData\Roaming\Microleaves
C:\Users\byrdz\AppData\Roaming\SystemHealer
Task: {DBE4B2C5-4A3B-4325-9EAD-869468833F59} - System32\Tasks\FastDataX Task => C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE
Task: {B2B33212-CAA9-4CF7-8534-85704F933025} - System32\Tasks\Opera scheduled Autoupdate 1521724106 => C:\Users\byrdz\AppData\Local\Programs\Opera\launcher.exe
HKLM\...\StartupApproved\Run32: => "ShutdownTime"
BootExecute: autocheck autochk * aswBoot.exe /M:cd53853c /wow /dir:"c:\program files\avast software\avast"
2018-03-22 15:40 - 2018-03-22 15:40 - 000000000 ____D C:\Program Files\Common Files\AVAST Software
2018-03-22 14:08 - 2018-03-22 15:40 - 000000000 ____D C:\ProgramData\AVAST Software
2018-03-22 15:44 - 2018-03-22 15:44 - 000000000 ___HD C:\$AV_ASW
Folder: C:\Program Files (x86)\Kazrog
BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\JwYYyjKjrIE\txDXw8cGH.dll => Brak pliku
BHO-x32: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\JwYYyjKjrIE\k5LI9LR.dll => Brak pliku
S2 PDcErbzxIU3q Updater; C:\Program Files (x86)\PDcErbzxIU3q Updater\PDcErbzxIU3q Updater.exe [X]
2018-03-22 14:09 - 2018-03-22 14:21 - 000000000 ____D C:\Users\byrdz\AppData\Local\Opera Software
2018-03-22 14:09 - 2018-03-22 14:09 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\Opera Software
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Operacja pomyślnie wykonana.

Czy masz jeszcze jakieś pytania?

System jest w agonalnym stanie - masa infekcji i instalacji adware. Między innymi: infekcja na poziomie DNS Windows, szkodliwe zadania w Harmonogramie zadań i niepożądane koparki BitCoin. 

Postaram się jak najszybciej doprowadzić to do porządku.

P.S: Skrypt wyczyści również systemowy kosz, więc przed przystąpieniem do akcji ewakuuj stamtąd ważne dla Ciebie pliki.

1. Deinstalacje:

• Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: Online Application.
• Przez Panel Sterownia odinstaluj kolejne instalacje adware, PUP oraz koparki BitCoin: Browser-Security, FastDataX 1.20, PDcErbzxIU3q Updater version 1.2.0.4, RunBooster, YoutubeAdBlock, ShutdownTime version 1.0., Multitimer version 1.0.

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Massive\Native Instruments Homepage.lnk
C:\Users\byrdz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kazrog\Recabinet\Manual.lnk
C:\Users\byrdz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kazrog\Recabinet\Uninstall.lnk
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {09B886FF-8099-4260-A05F-5802AEAD33D8} - System32\Tasks\dTRRfHQjsHOvbdt2 => rundll32 "C:\Program Files (x86)\LfFoujfjU\vJRmNI.dll",#1
Task: {CEFC37DF-45F8-422D-AE02-524CCA67331F} - System32\Tasks\qFbxfDUevnccZZ => rundll32 "C:\Program Files (x86)\jzVqtpDsXbLU2\EvfJfRbmLNDIf.dll",#1
Task: {EB593E33-0DC7-4D22-87F1-F1F330177DA5} - System32\Tasks\dIxshjfnsDsrepSSqPt2 => rundll32 "C:\Program Files (x86)\pidIvTaYsJowC\MczYPAT.dll",#1
Task: {FFDEAE73-39A9-4E12-8959-6F63B0386E8D} - System32\Tasks\WlbBJSMcknvngxNxC2 => rundll32 "C:\Program Files (x86)\mAUzXDPkZrvZtXzyunR\youRzsM.dll",#1
C:\Program Files (x86)\LfFoujfjU
C:\Program Files (x86)\jzVqtpDsXbLU2
C:\Program Files (x86)\pidIvTaYsJowC
C:\Program Files (x86)\mAUzXDPkZrvZtXzyunR
Task: {18EBE0ED-1EAB-4776-BDFC-E8DFA3640784} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AJ => C:\Users\byrdz\AppData\Roaming\4aa57c69cf284598ba2474ba12f54e45\HandlerExecution.exe [2018-03-22] () 
Task: {8BCC4E10-726F-4DA4-B219-6D2BE0E31FB2} - System32\Tasks\GoogleUpdateSecurityTaskMachine_YD => C:\Users\byrdz\AppData\Roaming\73179a203cf14340a078b0b2aacf6ba6\HandlerExecution.exe [2018-03-22] () 
Task: {A4C9CEF0-7528-4F97-B650-8F312A6116F1} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OX => C:\Users\byrdz\AppData\Roaming\76cc55dd9a3740408c857ed0f23ff1bb\HandlerExecution.exe [2018-03-22] () 
Task: {E6E348A5-D695-46CB-88BC-4DDDA52CD080} - System32\Tasks\GoogleUpdateSecurityTaskMachine_LF => C:\Users\byrdz\AppData\Local\ca82a53784824e738c137e50727f8f1a\HandlerExecution.exe [2018-03-22] () 
Task: {A3D367BC-0B47-45F3-A9CB-CDB33A77C63B} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\ProgramData\e9bee0b438034d95b679fea1fd7dc782\HandlerExecution.exe [2018-03-22] () 
C:\Users\byrdz\AppData\Roaming\4aa57c69cf284598ba2474ba12f54e45
C:\Users\byrdz\AppData\Roaming\73179a203cf14340a078b0b2aacf6ba6
C:\Users\byrdz\AppData\Roaming\76cc55dd9a3740408c857ed0f23ff1bb
C:\ProgramData\e9bee0b438034d95b679fea1fd7dc782
Task: {626CFDB1-5A99-4870-8752-C6117F6A7A62} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
Task: {662EABC6-8533-4A21-B365-DAE015B50537} - System32\Tasks\cmdsrv => C:\Browse\cmdsrvs.exe [2018-03-13] (Secrypt Inc.)
C:\Browse
GroupPolicy: Ograniczenia - Chrome 
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S1 ebsktgnk; \??\C:\WINDOWS\system32\drivers\ebsktgnk.sys [X]
S1 fqvefljg; \??\C:\WINDOWS\system32\drivers\fqvefljg.sys [X]
S1 nkwpmper; \??\C:\WINDOWS\system32\drivers\nkwpmper.sys [X]
S1 sldylynf; \??\C:\WINDOWS\system32\drivers\sldylynf.sys [X]
S1 tcqhgvfw; \??\C:\WINDOWS\system32\drivers\tcqhgvfw.sys [X]
2018-03-22 15:34 - 2018-03-22 15:34 - 000000000 ____D C:\Program Files (x86)\yplCmHJcuoUn
2018-03-22 15:34 - 2018-03-22 15:34 - 000000000 ____D C:\Program Files (x86)\JwYYyjKjrIE
2018-03-22 15:07 - 2018-03-22 15:07 - 000000000 ____D C:\Program Files (x86)\pidIvTaYsJowCapgudtfmgq
2018-03-22 15:07 - 2018-03-22 15:07 - 000000000 ____D C:\Program Files (x86)\mAUzXDPkZrvZtXzyunRqnaqcoltor
2018-03-22 14:09 - 2018-03-22 14:09 - 000000000 ____D C:\Program Files (x86)\pidIvTaYsJowCwwpehuhwin
2018-03-22 14:09 - 2018-03-22 14:09 - 000000000 ____D C:\Program Files (x86)\mAUzXDPkZrvZtXzyunRytubqimuyg
2018-03-22 14:07 - 2018-03-22 14:09 - 000000000 ____D C:\Program Files (x86)\foldershare
2018-03-22 14:09 - 2018-03-22 15:45 - 000000000 ____D C:\Program Files\UEDT1PI04N
2018-03-22 14:35 - 2018-03-22 15:08 - 000000000 ____D C:\Users\byrdz\AppData\Local\yvxxOSvvvpXeZpQog
2018-03-22 14:09 - 2018-03-22 15:30 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\j55dtnxuyah
2018-03-22 14:08 - 2018-03-22 15:19 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\cpuminer
2018-03-22 14:08 - 2018-03-22 14:08 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\gplyra
2018-03-22 14:06 - 2018-03-22 14:06 - 000000000 ____D C:\ProgramData\ef737cee-6357-1
2018-03-22 14:06 - 2018-03-22 14:06 - 000000000 ____D C:\ProgramData\ef737cee-3535-0
2018-03-22 14:09 - 2018-03-22 15:43 - 000000000 ____D C:\ProgramData\9d594f1d35
2018-03-22 14:07 - 2018-03-22 15:08 - 000000000 ____D C:\Applications
Folder: C:\Users\Public\Documents\AdobeGC
Folder: C:\WINDOWS\Microsoft Antimalware
Folder: C:\WINDOWS\system32\config\SOFTWARE
Folder: C:\Users\byrdz\AppData\Roaming\WidModule
Folder: C:\Program Files (x86)\ON
Tcpip\..\Interfaces\{5b7f5289-b6e9-46e5-bfee-e51b2047720e}: [NameServer] 82.163.142.8,95.211.158.136
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset 
Hosts:
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\byrdz\AppData\Local
CMD: dir /a C:\Users\byrdz\AppData\LocalLow
CMD: dir /a C:\Users\byrdz\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Infekcja adware zmodyfikowała plik Google Chrome resources.pak i wymagana jest kompleksowa reinstalacja tej przeglądarki.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

Raporty FRST i Addition zostały ucięte. Proszę o dostarczenie całych raportów.