picasso

W systemie są dwa typy infekcji: adware/PUP + starsza infekcja robakiem przenoszonym via pendrive (home.vbe). Nadal liczne elementy infekcji: aktywne szkodliwe procesy i moduły, szkodliwe proxy, modyfikacja serwerów DNS, przekierowania w pliku Hosts, niepożądany program MPC AdCleaner. Na dodatek, kompletnie nieaktualizowany (brak SP1 i IE11) i niezabezpieczony system... Operacje do wdrożenia: 1. Deinstalacje: - Wejdź do folderu C:\Program Files (x86)\MPC AdCleaner i wyszukaj plik deinstalatora, z prawokliku "Uruchom jako Administrator". - Przez Panel sterowania odinstaluj też stare wersje: Adobe Flash Player 18 PPAPI, Akamai NetSession Interface, Java 8 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [gplyra] => C:\Users\Lelo\AppData\Roaming\gplyra\gplyra\start.cmd [216 2016-01-19] () HKU\S-1-5-21-3992996756-2334413397-797887538-1000\...\Policies\Explorer: [] AppInit_DLLs: C:\ProgramData\Holdtam\RedZunity.dll => C:\ProgramData\Holdtam\RedZunity.dll [363520 2016-04-13] () AppInit_DLLs-x32: C:\ProgramData\Holdtam\Sandox.dll => C:\ProgramData\Holdtam\Sandox.dll [257536 2016-04-13] () Startup: C:\Users\Lelo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-10-27] () S2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe [400384 2016-04-12] () [brak podpisu cyfrowego] S2 Holdtam; C:\ProgramData\\Holdtam\\Holdtam.exe [1075200 2016-04-13] () [brak podpisu cyfrowego] R2 Khiufa; C:\Users\Lelo\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] () S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] R1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] Task: {0F75E44B-1343-47AC-84D3-605DB44606B4} - System32\Tasks\MPC AdCleaner => C:\Program Files (x86)\MPC AdCleaner\AdCleaner.exe [2016-03-10] (DotC United Inc) Task: {85D58C27-6D1E-4772-84DB-0E19D1603E8B} - System32\Tasks\{0B1350B9-C0CD-44E1-825F-DA6DCE7FE64B} => pcalua.exe -a C:\Users\Lelo\AppData\Local\Temp\VSDF3E1.tmp\DotNetFx35Client\DotNetFx35ClientSetup.exe -d E:\Pobrane -c /lang:enu /passive /norestart Task: {CDDD06C2-953D-4004-BADF-438333BACC09} - System32\Tasks\WindowsUpda2ta => C:\Users\Lelo\AppData\Roaming\MICROSOFT\home.vbe [2015-10-27] () Task: {FF016734-2472-4D11-BB52-D218BA0C489C} - System32\Tasks\{3DD9FE2C-E841-4B39-8E1D-D7DDC2E33E33} => pcalua.exe -a E:\Pobrane\LeagueofLegends_EUNE_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\Lelo\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:3300 Winsock: Catalog5 01 C:\Windows\SysWOW64\NLAapi.dll [51712 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 02 C:\Windows\SysWOW64\mswsock.dll [232448 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 C:\Windows\SysWOW64\winrnr.dll [20992 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\winrnr.dll" Winsock: Catalog5 04 C:\Windows\SysWOW64\napinsp.dll [52224 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\napinsp.dll" Winsock: Catalog5 05 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll" Winsock: Catalog5 06 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll" Tcpip\..\Interfaces\{2C63FCC9-C3F4-4A8F-BF59-D820C7D6C61A}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{3F3ACCFD-AD2E-403D-9CE2-0811D5E774D6}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{74D7DA7B-95E7-4855-BD01-33698BB392E1}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptXiNjz3Ia7s7wvuKUl6x4obHlEbPS5NsOy-Xg_l5D-5vZPf-GTzbhCowvg1eog1jSgcbUNP7P_kU8oSUbpA_udo-6ZTdy5Ows9zU_-U8YvITrlJTsrTj2GXmWW4ziUx0Ic9MfPZNr9n82h3UybsNAIUnxCse3&q={searchTerms} HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptXiNjz3Ia7s7wvuKUl6x4obHlEbPS5NsOy-Xg_l5D-5vZPf-GTzbhCowvg1eog1jSgcbUNP7P_kU8oSUbpA_udo-6ZTdy5Ows9zU_-U8YvITrlJTsrTj2GXmWW4ziUx0Ic9MfPZNr9n82h3UybsNAIUnxCse3&q={searchTerms} HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptXiNjz3Ia7s7wvuKUl6x4obHlEbPS5NsOy-Xg_l5D-5vZPf-GTzbhCowvg1eog1jSgcbUNP7P_kU8oSUbpA_udo-6ZTdy5Ows9zU_-U8YvITrlJTsrTj2GXmWW4ziUx0Ic9MfPZNr9n82h3UybsNAIUnxCse3&q={searchTerms} HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl SearchScopes: HKLM -> DefaultScope {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-3992996756-2334413397-797887538-1000 -> DefaultScope {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.mpc.am/index/search?q={searchTerms}&cx=partner-pub-3796753109442372:3837783968&ie=UTF-8 SearchScopes: HKU\S-1-5-21-3992996756-2334413397-797887538-1000 -> {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.mpc.am/index/search?q={searchTerms}&cx=partner-pub-3796753109442372:3837783968&ie=UTF-8 StartMenuInternet: IEXPLORE.EXE - iexplore.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4D5D608E-322F-44FE-BA6C-8D4FC1FB92AB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\extensions C:\Program Files\Enigma Software Group C:\Program Files (x86)\badu C:\Program Files (x86)\MPC AdCleaner C:\Program Files (x86)\MPC Cleaner C:\ProgramData\DCHP C:\ProgramData\Holdtam C:\ProgramData\Holdtams C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery C:\uninst C:\Users\Lelo\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Lelo\AppData\Local\Chromium C:\Users\Lelo\AppData\Local\Tempfolder C:\Users\Lelo\AppData\LocalLow\Company C:\Users\Lelo\AppData\Roaming\*.* C:\Users\Lelo\AppData\Roaming\Eepubseuig C:\Users\Lelo\AppData\Roaming\gplyra C:\Users\Lelo\AppData\Roaming\Mozilla C:\Users\Lelo\AppData\Roaming\MCorp C:\Users\Lelo\AppData\Roaming\Microsoft\home.vbe C:\Users\Lelo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Lelo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DevID Agent C:\Users\Lelo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner C:\Users\Lelo\Downloads\sh-remover.exe C:\Users\Public\Documents\dmp C:\Windows\system32\rig C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\etc\hp.bak CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Jak najbardziej nieudolna zmiana ścieżki Program Files może produkować te objawy. I raport CCleaner jasno wskazuje, że edycja i tak była tylko częściowa, uruchamiane programy w rejestrze nadal mają odwołanie do C:\Program Files (64-bit) i C:\Program Files (x86) (32-bit). Jak sądzę, to ledwie część problemu i jest multum innych odniesień do poprzedniej ścieżki w rejestrze. Nie wiadomo też w jaki sposób edycję wykonano, co zmieniono konkretnie i gdzie, czy adresowano rozdzielność bitów (dwa odrębne katalogi C:\Program Files + C:\Program Files (x86)). Jeśli pijesz do zmiany wartości ProgramFilesDir, to nawet nie jest wystarczająca edycja i nie spowoduje ona automatycznej aktualizacji już poprzednio nagranych w rejestrze ścieżek dostępu. Zmiana ścieżki Program Files już zainstalowanego systemu jest o wiele bardziej skomplikowana, należy poprawić multum innych wpisów w rejestrze, wliczając też te bardziej "zamaskowane" jak np. w systemie nazw 8+3, to co figuruje w Autostarcie CCleaner to ledwie cząstka zagadnienia. Na forum było sporo tematów z takimi nieudanymi edycjami, np. KLIK, KLIK, KLIK. W sytuacji tu zastanej klaruje się użycie Przywracania systemu do stanu sprzed felernej edycji. A jeśli to awykonalne (brak punktów lub niedziałanie funkcji), ręczne odkręcenie edycji ścieżek (edytowałaś, więc wiesz gdzie). Na przyszłość: nie kombinuj ze zmianą ścieżek Program files, to ma więcej negatywnych skutków niż korzyści, jeśli wykona się to niepoprawnie. Zostaw domyślne ustawienie i po prostu nowo instalowane programy kieruj podczas ich instalacji do folderu na innej partycji.

Czy to na pewno jest raport FRST po "deinstalacji" ESET? W raporcie program aktywny na fula, żadnych oznak jego poprawnej deinstalacji.

Temat przenoszę do działu Windows, choć są tu ślady wirusa Sality (wyglądają na nieaktywne szczątki, skanery nic nie wykrywają). Notowalne następujące problemy: 1. Uszkodzenie bazy Usług kryptograficznych, obrazowane w logu jako masowy odczyt Brak podpisu cyfrowego dla usług i sterowników. Uruchom narzędzie Fix It 50202 (działa na XP): KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2. 2. Kolejne uszkodzenie to dewastacja kluczy Trybu awaryjnego wykonana przez Sality: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal" Brak klucza i wymagana ręczna naprawa. "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network" Brak klucza i wymagana ręczna naprawa. Pobierz tę paczkę: KLIK. Uruchom z paczki plik SafeBootWinXP.reg, potwierdź import do rejestru. 3. Błędy advapi32.dll "nie znaleziono punktu wejścia procedury" wskazują, że plik w systemie jest starszy niż wersja której wymaga dany program lub plik jest uszkodzony. Po pierwsze, plik mógł uszkodzić wirus Sality. Po drugie tu jest archaiczny system XP, więc albo brakuje Ci jakiś łat wydanych później niż SP3 (prawdopodobne, na co wskazuje też mega stara wersja IE6), albo program wymaga wyższej wersji niż dostępna dla XP. Do wykonania wszystkie aktualizacje z Windows Update. A wątpliwy program Dll-Files.com odinstaluj. 4. Zresetuj reguły Zapory systemu Windows. Start > Uruchom > cmd i wpisz komendę netsh firewall reset. 5. Po wszystkim zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Poprzednio zabrakło właśnie tego trzeciego obowiązkowego raportu. Będą doczyszczane inne śmieci.

Adesując stary wątek, to nie jest problem infekcji i temat jedzie do działu Windows. W Harmonogramie tylko drobny i już nieaktywny szczątek adware Gameo, plus mini drobnostki tu i ówdzie. Do wyczyszczenia potem, gdyż to nieistotne pod kątem: ==================== Centrum zabezpieczeń ======================== AV: Bitdefender Ochrona antywirusowa (Disabled - Up to date) {9A0813D8-CED6-F86B-072E-28D2AF25A83D} AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} AS: Bitdefender Moduł antyszpiegowski (Disabled - Up to date) {2169F23C-E8EC-F7E5-3D9E-13A0D4A2E280} AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} FW: Bitdefender Zapora sieciowa (Disabled) {A23392FD-84B9-F933-2C71-81E751F6EF46} W Twojej konfiguracji jedno ze zgłoszeń jest naturalne. Jeśli w systemie jest zainstalowany antywirus bądź pakiet innej firmy, systemowy Windows Defender jest automatycznie deaktywowany i nie można go już uruchomić. Jego stan jest przywracany po deinstalacji zewnętrznego antywirusa. Czyli problemem jest tu tylko stan BitDefender - wg odczytu z Centrum zabezpieczeń są wyłączone wszystkie moduły. Spróbuj BitDefender przeinstalować "od zera", tzn. w pierwszej kolejności pełna deinstalacja połączona też z ręcznym usuwaniem katalogów z dysku. I niedziałanie jest konsekwencją błędów na dysku. W Dzienniku zdarzeń pasujące błędy, w tym jeden z nich nawet konkretnie wskazuje uszkodzony plik BitDefender: Dziennik System: ============= Error: (03/01/2016 09:18:06 AM) (Source: Ntfs) (EventID: 55) (User: ZARZĄDZANIE NT) Description: Wykryto uszkodzenie w strukturze systemu plików woluminu C:. W strukturze indeksu systemu plików znaleziono uszkodzenie. Numer odwołania do pliku: 0x200000001d412. Nazwa pliku: „\Windows\Microsoft.NET\assembly\GAC_64”. Atrybut uszkodzonego indeksu: „:$I30:$INDEX_ROOT”. Lokalizacja bloku uszkodzonego indeksu: VCN 0xffffffffffffffff, LCN 0xffffffffffffffff. Uszkodzenie rozpoczyna się od przesunięcia 280 wewnątrz bloku indeksu. Error: (02/29/2016 07:23:27 PM) (Source: Ntfs) (EventID: 55) (User: ZARZĄDZANIE NT) Description: Wykryto uszkodzenie w strukturze systemu plików woluminu C:. W strukturze indeksu systemu plików znaleziono uszkodzenie. Numer odwołania do pliku: 0x70000000260d9. Nazwa pliku: „\Program Files\Bitdefender\Bitdefender 2015\active virus control\Avc3_00328_004”. Atrybut uszkodzonego indeksu: „:$I30:$INDEX_ALLOCATION”. Należałoby także wykonać skany chkdsk. Jeden z nich już stoi jako zaplanowany: BootExecute: autocheck autochk /m /f \Device\HarddiskVolume3autocheck autochk * Odpowiada to komunikatowi z Centrum: "Ponowne uruchamianie w celu naprawy błędów na dysku (ważne)".

Jeśli chodzi o punkt 2, otwierasz dowolny folder, w pasku adresów klikasz by podświetlić całą ścieżkę, wklejasz podaną przeze mnie i ENTER. W folderze jest plik Internet explorer (bez dodatków), prawy klik na niego i edytujesz zgodnie z wytycznymi. Po wykonaniu operacji podaj raporty o które prosiłam.

Wiem, że SpyHunter został co dopiero zainstalowany, jego powód deinstalacji inny. Głównym podejrzanym pod kątem zgłaszanych objawów jest stary ESET.

O ile problem nadal aktualny, ten zgłaszany błąd "Explorer.EXE" powinien być pochodną martwego już wpisu malware: HKU\S-1-5-21-1959427491-852045911-1794719735-1001\...\CurrentVersion\Windows: [Load] C:\Users\Rexus\AppData\Roaming\Microsoft\Blend\14.0\FeedCache\protocolhost.exe Czyli do usunięcia szczątki szkodników i inne puste wpisy. Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1959427491-852045911-1794719735-1001\...\CurrentVersion\Windows: [Load] C:\Users\Rexus\AppData\Roaming\Microsoft\Blend\14.0\FeedCache\protocolhost.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [updReg] => C:\WINDOWS\UpdReg.EXE S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] C:\Program Files (x86)\qq C:\ProgramData\6d4af916947c08af2de97a2c3b876fa1afbf253b C:\ProgramData\89097884600a62f8b1eb02acdfe3fc804563b2ce C:\ProgramData\728936 C:\ProgramData\729036 C:\ProgramData\841399 C:\ProgramData\841499 C:\Users\Rexus\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Rexus\AppData\Roaming\Microsoft\Blend C:\Users\Rexus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\8f5c8d9e-5e02-46cf-adea-4ad6cb1021a7.lnk C:\Users\Rexus\AppData\Roaming\Microsoft\Word\CV%20Marta3305039152090491437\CV%20Marta3.docx.lnk C:\Users\Public\Documents\dmp DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v gplyra /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy błąd ustąpił.

Sprawdź czy będą zmiany po wykonaniu tzw. czystego rozruchu: KLIK.

O ile problem nadal aktualny: Uruchomienie normalnej deinstalacji jest pierwszym krokiem, który może zlikwidować w naturalny sposób większość komponentów. Siłowe usuwanie skryptem FRST i podobnymi to już druga faza. Skoro metoda via Dodaj/Usuń zgłasza błąd o braku uprawnień administracyjnych, to czy jest możliwe jedno z tych: 1. Uruchomienie pliku deinstalacyjnego bezpośrednio z folderu C:\Program Files\Tencent? 2. Ponowienie operacji z poziomu Trybu awaryjnego Windows? Dopiero, gdy padnie odpowiedź negatywna w obu przypadkach, podam instrukcje siłowego usunięcia komponentów Tencent.

Posługujesz się potwornie starym FRST, od tego czasu już było multum wersji z nowymi detekcjami i poprawkami: Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version:13-06-2015 Temat przenoszę do działu Windows. Nie jest to problem infekcji. Sugestie wstępne: 1. Odinstaluj strasznie stary ESET (to wersja na sterownikach z 2012!) oraz wątpliwy skaner SpyHunter. Cracowanie SpyHunter, którym się parałeś, było tu conajmniej nie na miejscu, pomijając oczywiste znaczenie tego faktu. W przypadku gdy SpyHunter nie będzie chciał się odinstalować, skorzystaj z narzędzia SpyHunterCleaner. 2. Pobierz najnowszy FRST z przyklejonego (KLIK) i zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Opisz czy po usunięciu ESET jest poprawa.

Fix FRST wykonany. On był dedykowany szczątkom po programach, nie miał w ogóle związku z innymi problemami. Jeśli chodzi o czyszczenie systemu, to już skończyliśmy. Potem zadam drobne czynności końcowe. W tym momencie chodzi mi o sprecyzowanie czy po pełnej deinstalacji ESET (był przed i po zgłoszeniu problemu) i nie instalując żadnych nowych antywirusów nadal występuje problem wolnych reakcji systemu.

Brak jakichkolwiek oznak infekcji. Efekt wolnego działania systemu (o ile to nie placebo, co sam podejrzewasz) i okresowego obciążenia dysku to prawdopodobnie efekt aktywności Kasperskiego.

Ale przecież miałeś wykonać to: Nie ma oznak w raportach FRST, że to wykonałeś, a dołączony wcześniej Fixlog jest stary niezależnie od tego że go tworzyłeś na nowo (ponowne wykonanie wcześniejszych nieaktualnych już instrukcji). Do zrobienia zacytowane instrukcje. Nie było tu przetwarzane nic powiązanego co pogłoby spowodować ten efekt. W nowych raportach nie ma też żadnych konkretów. Może zacznij od testowej deinstalacji ESET - jest to najbardziej podejrzany element pod kątem opisywanego efektu. Potem go najwyżej przywrócisz.

O ile problem nadal aktualny: Problemy przekierowań tworzy m.in. infekcja DNS Unlocker, która zmodyfikowała też serwery DNS. Natomiast problem zawieszenia systemu prawdopodobnie nie jest powiązany z infekcją i prędzej tu podejrzanym może być pakiet Kaspersky. Na razie jednak wyczyść infekcje: 1. Odinstaluj: - Adware/PUP: DNS Unlocker version 1.4, eShield Browser Security, KMPFaster, Money Viking, One System Care. - Mega-stare niebezpieczne wersje: Adobe Flash Player 10 ActiveX, Java™ 6 Update 17. Jeśli wystąpią jakieś błędy deinstalacji, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0B1334AA-9F1E-4720-8F4F-9B77F4C6407D} - System32\Tasks\{D4204239-DF79-5F25-B828-5C83DD2F827F} => /s /n /i:"/rt" "C:\PROGRA~3\c6b01e15\aceb6889.dll" Task: {2F6C0C4B-EF3E-46B0-B9C3-2C4D1B08FE3B} - System32\Tasks\One System Care Task => C:\Program Files (x86)\OneSystemCare\SystemConsole.exe [2016-01-27] () Task: {4C652CF8-22F5-4467-BD97-81BE15689D8E} - System32\Tasks\DNSLOCKINGTON => dnslockington.exe Task: {571B8679-27AE-46FD-9285-278BFF9217FC} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [2016-01-27] () Task: {94A3769E-30ED-43F8-841E-FF59B33AAC17} - System32\Tasks\{7F7D0F47-047A-0A05-7811-0A087D78110A} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (dane wartości zawierają 9448 znaków więcej). Task: {C084F3EA-E16B-45F8-BF2F-24B65ABCCB6A} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe [2016-01-27] () Task: {D34C9F2A-F934-4ED7-98D2-11ED40A2C005} - System32\Tasks\simplitec Power Suite => C:\Program Files (x86)\simplitec\KMPFaster\PowerSuite.exe [2015-10-23] (simplitec GmbH) Task: {E9017999-91A3-4479-9FCE-59F59DD9E21D} - System32\Tasks\simplitec Power Suite (Tray) => C:\Program Files (x86)\simplitec\KMPFaster\ServiceProvider.exe [2015-10-23] (simplitec GmbH) Task: C:\windows\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe Task: C:\windows\Tasks\simplitec Power Suite (Tray).job => C:\Program Files (x86)\simplitec\KMPFaster\ServiceProvider.exe Task: C:\windows\Tasks\simplitec Power Suite.job => C:\Program Files (x86)\simplitec\KMPFaster\PowerSuite.exe R2 Service Mgr MoneyViking; C:\ProgramData\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugincontainer.exe [788192 2016-01-28] () R2 Update Mgr MoneyViking; C:\Program Files (x86)\Common Files\ab36fac3-93dd-4505-9add-ad6d38d4b914\updater.exe [641248 2016-01-28] () CustomCLSID: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001_Classes\CLSID\{CD75E5D1-9F69-41D3-9143-F93FC71C617A}\InprocServer32 -> C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar64.dll (Eshield) BHO-x32: Money Viking -> {c7c5384f-d9e9-4db1-8c72-135ecccbc571} -> C:\Program Files (x86)\Money Viking\Extensions\c7c5384f-d9e9-4db1-8c72-135ecccbc571.dll [2016-01-28] () Toolbar: HKLM - eShield - {CD75E5D1-9F69-41D3-9143-F93FC71C617A} - C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar64.dll [2016-01-28] (Eshield) Toolbar: HKLM-x32 - eShield - {CD75E5D1-9F69-41D3-9143-F93FC71C617A} - C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar.dll [2016-01-28] (Eshield) FF Plugin HKU\S-1-5-21-1581660641-4088170054-1556520515-1001: @tnt2npapi.com/Plugin -> C:\Users\Niagara\AppData\Local\TNT2\2.0.0.2030\npTNT2.dll [2016-01-28] (Eshield) CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&i= HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&i= SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> DefaultScope {B9CCE2F6-10F9-43F4-BB85-BBEBE6A6AC2D} URL = hxxp://search.eshield.com/serp?guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {B9CCE2F6-10F9-43F4-BB85-BBEBE6A6AC2D} URL = hxxp://search.eshield.com/serp?guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {C0791B8C-147A-4862-9AA3-EE6A6C2B4004} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467 HKU\S-1-5-21-1581660641-4088170054-1556520515-1000\...\RunOnce: [sysOff] => C:\Windows\SysWOW64\SYSPREP\ClosespV.exe Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{25909239-A0D1-4F42-98B6-B30BCFE1D324}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{5D3FB0C2-471F-49CA-BDAB-9986597A8FA3}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{5D3FB0C2-471F-49CA-BDAB-9986597A8FA3}: [DhcpNameServer] 82.163.142.7 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bing Bar DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Default Manager C:\Program Files (x86)\DNS Unlocker C:\Program Files (x86)\OneSystemCare C:\Program Files (x86)\simplitec C:\Program Files (x86)\TNT2 C:\Program Files (x86)\Common Files\ab36fac3-93dd-4505-9add-ad6d38d4b914 C:\ProgramData\{09718002-712c-0} C:\ProgramData\{197f0084-512c-1} C:\ProgramData\c6b01e15 C:\ProgramData\ab36fac3-93dd-4505-9add-ad6d38d4b914 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Toshiba\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\Niagara\AppData\Local\TNT2 C:\Users\Public\Desktop\Rejestracja gwarancji firmy Toshiba.lnk CMD: for /d %f in (C:\ProgramData\835c28b8-*) do rd /s /q "%f" CMD: for /d %f in (C:\ProgramData\d35a304c-*) do rd /s /q "%f" CMD: ipconfig /flushdns CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

O ile problem nadal aktualny: W podanym raporcie FRST zrobionym spod RE nie ma żadnych wskazówek co może być nie tak i co produkuje ten ekran logowania z uszkodzonymi fontami. Albo jest to uszkodzenie rejestru, albo element nie skanowany przez FRST. 1. Jeśli chodzi o analitykę problemu, dostarcz folder C:\FRST\Hives spakowany do ZIP. 2. Jeśli chodzi o rozwiązanie problemu, przy braku danych zostaje mi polecić użycie opcji Odśwież komputer dostępnej z poziomu RE. PS. Na przyszłość: został zaistalowany program SpyHunter - to skaner którego należy mocno unikać.

Wirus Ramnit infekuje pliki na wszystkich dostępnych dyskach. Niezbędny jest więc dogłębny skan antywirusowy wszystkich dysków po kolei. Wprawdzie zawiadamiasz, że pomyślnie użyłeś Symantec Ramnit Removal Tool, ale zakres jego działania nieznany. Są tu dwie partycje, czy obie zostały przeskanowane? ==================== Dyski ================================ Drive c: () (Fixed) (Total:345.48 GB) (Free:216.58 GB) NTFS Drive d: () (Fixed) (Total:585.94 GB) (Free:244.97 GB) NTFS A logi FRST nie nadają się do pełnej oceny stanu zainfekowania dysków wirusem Ramnit. One mogą tylko wykazać, czy jest wpis rozruchowy wirusa (tu już brak, wpis Userinit nie ma odnośnika do elementu Ramnit, choć został niepoprawnie zedytowany), ale nie są żadnym dowodem na to czy pliki zainfekowane Ramnit są na dysku. Od tego jest skan antywirusowy, jak już zaznaczyłam. Jeśli zaś chodzi o to co widać w raportach FRST, do wyczyszczenia byłyby tylko drobne śmieci. Temat stary, więc wypadałoby dodać świeży zestaw raportów z FRST wykonany zgodnie z instrukcjami tu na forum. Logi z FRST podane wcześniej wykonane na innych ustawieniach niż wskazane w przyklejonym temacie. Sekcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone.

Jeśli chodzi o czyszczenie systemu, to standardowe kroki do wykonania: Usuń z Pulpitu folder frst. Następnie użyj narzędzie DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK.

Na razie ustalmy czy nastąpiła poprawa w działaniu systemu. Nie instaluj też żadnych nowych inwazyjnych programów (a takimi są m.in. antywirusy), dopóki nie ukończysz diagnostyki BSOD. PS. Fix FRST pomyślnie wykonany.

Router nie był/jest dostatecznie zabezpieczony. Instrukcje do wykonania: 1. Wykonaj aktualizację firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Firmware dla TD-W8901G Po aktualizacji wdróż reset ustawień routera do ustawień fabrycznych, co powinno wyzerować ustawienia DNS wprowadzone przez hijackera. Następnie zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj Akamai NetSession Interface (zbędny "downloader" produktów Autodesk), Game Booster 3 (produkty IOBit nie są tu polecane), Java 8 Update 73, Java 8 Update 74 (stare wersje). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {4bf99d86-1f37-4311-a79d-5136408f4421}Gw64; C:\Windows\System32\drivers\{4bf99d86-1f37-4311-a79d-5136408f4421}Gw64.sys [48784 2016-02-28] (StdLib) S3 catchme; \??\C:\ComboFix\catchme.sys [X] Task: {20A74FA4-81D2-4FE4-9D7A-5C9B89B4237C} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {C0FC2055-B707-46F5-AFDC-CC14A67B6D2F} - System32\Tasks\{1FFF8A45-CDA3-45FB-A8A0-DA3B96305192} => pcalua.exe -a F:\Sims3SP01Setup.exe -d F:\ Task: {FCB78D4A-3B88-4B4D-995E-8BF3DCF01BF8} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software) Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\...\Run: [igfxTray] => "C:\Windows\system32\igfxtray.exe" HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Run: [bingSvc] => C:\Users\Kinia\AppData\Local\Microsoft\BingSvc\BingSvc.exe HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-318038007-921987228-2979523656-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-318038007-921987228-2979523656-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-318038007-921987228-2979523656-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl CHR HKU\S-1-5-21-318038007-921987228-2979523656-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\GUTB1A3.tmp C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\AVAST Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Autodesk Design Review 2013.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Content Service\Content Service — konsola konfiguracji.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gnumeric C:\Users\Kinia\AppData\Local\cache C:\Users\Kinia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Kinia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj*.lnk C:\Users\Kinia\Dropbox\Studia\6 semestr\Ciepło\easyQuizzy.lnk C:\Windows\System32\drivers\{4bf99d86-1f37-4311-a79d-5136408f4421}Gw64.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki ze szczątków adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone, ręcznie je aktywuj. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Kinia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Vista. To nie jest problem infekcji. Był tu używany ComboFix i na ten temat: KLIK. Co widać w raportach: zaniedbany system (różne śmieci/odpadki i stare programy), kompletnie nieaktualizowany (to ze względu na zgłaszane problemy na razie omijam), notowalne też naruszenie WMI: ==================== Punkty Przywracania systemu ========================= Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. Wstępnie: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 2. W kwestii zawieszania aplikacji największe podejrzenia budzi inwazyjny pakiet 360 Total Security, świeżo zresztą doinstalowany. O ile to wykonalne (zgłaszasz niejasny problem z deinstalacją), odinstaluj go, a także stare niebezpieczne wersje (zagrożenie infekcjami ransom i szyfrującymi dane) i zbędny niepolecany tu program IOBit: 360 Total Security, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Media Player, Adobe Reader 8 - Polish, Adobe Reader 8.1.2 Security Update 1 (KB403742), Adobe Shockwave Player 11.5, Game Booster 3, Java� 6 Update 17, Real Alternative 1.9.0 Jeśli będzie problem z deinstalacją, nie kombinuj i opuść ten punkt. 3. W systemie jest aktywny bardzo stary (z 2010) i niepowiązany już z żadnym programem emulacyjnym sterownik SPTD. Usuń go posługując się narzędziem SPTDInst. 4. W spoilerze doczyszczanie śmieci (wpisy odpadkowe / puste i Tempy). Akcja podrzędna i nie pomoże rozwiązać problemu głównego. 5. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz evetvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 6. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt ze spoilera. Podaj czy są jakieś zmiany.

To komunikat produkowany przez adware PriceFountain w Harmonogramie zadań. Przenoszę temat do działu Diagnostyki malware. Proszę dostarczyć raporty z FRST. I na razie daruj sobie próby formatowania zaznaczone w drugim Twoim temacie.

O ile problem nadal aktualny: SpyHunter to wątpliwy program, z daleka od tego "produktu". Jeśli chodzi o problem przekierowań, tworzą je szkodliwe rekordy proxy. Poza tym, odbyło się tu niedokładne usuwanie adware PriceFountain (częściowe usunięcie zadania z Harmonogramu, moduł z pamięci nie odładowany, folder na dysku też obecny). Tak swoją drogą, to jest to scrackowany Windows, świeże kombinacje z łamaniem aktywavji. Działania do przeprowadzenia: 1. Odinstaluj SpyHunter. Jeśli będzie problem z tym, skorzystaj z narzędzia SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {C3FCF024-57FF-48CD-B139-4B9DAF93FB1E} - \PawełAwakenersCardV2 -> No File Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File HKU\S-1-5-21-1971605308-2172589426-802125545-1000\...\Run: [AdobeBridge] => [X] ManualProxies: SearchScopes: HKLM-x32 -> DefaultScope value is missing CMD: netsh advfirewall reset RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Users\Paweł\AppData\Local\AwakenersCard RemoveDirectory: C:\Users\Paweł\AppData\Local\Chromium RemoveDirectory: C:\Users\Paweł\Downloads\Torrentex RemoveDirectory: C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Users\Paweł\AppData\Roaming\*.* C:\Users\Paweł\Desktop\allegro.pl.URL C:\Users\Paweł\Desktop\Booking.UR C:\Users\Paweł\Downloads\*downloader*.exe C:\Users\Public\Desktop\SimpleDownloads.lnk Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę, na razie do działu Windows, ale może wylądować w Hardware. Problemy główne nie są z winy infekcji, choć owszem są tu ślady adware (w Harmonogramie zadań wpis adware PriceFountain i adware w Firefox), tylko że poziom ich ingerencji wyklucza przyczynę. 1. Jeśli chodzi o wolny system i nawigację między folderami, podejrzany jest pakiet Bitdefender Total Security 2015 używający multum wpisów rozruchowych oraz technikę rozszerzeń ShellIconOverlayIdentifiers (ikony nakładkowe na folderach). ShellIconOverlayIdentifiers może być jednym z powodów dziwnych zachowań folderów. Na próbę całkowicie odinstaluj ten pakiet. 2. W kwestii BSOD, do wykonania analiza plików DMP rozpisana w tym tutorialu: KLIK. 2016-04-13 10:11 - 2016-04-13 10:11 - 00287048 _____ C:\Windows\Minidump\041316-51714-01.dmp 2016-04-13 10:10 - 2016-04-13 10:10 - 609013962 _____ C:\Windows\MEMORY.DMP 3. W spoilerze doczyszczanie adware i wpisów pustych:

Temat posprzątany, zbędne logi usunięte i posty posklejane. Mam uwagę do drugiej porcji logów FRST - zrobione w późniejszym czasie niż pierwszy zestaw, w starcie jednak nadal ta sama "bezplikowa" infekcja DNS Unlocker uruchamiająca komendę PowerShell, jakoby wcześniej usuwana. Plus zmodyfikowane przez adware skróty oraz preferencje Google Chrome. Nie został sprawdzony Fixlog wynikowy co się działo, że obiekty nie zostały przetworzone. kuchum, w kwestii doczyszczania zrób świeże raporty FRST (wszystkie trzy), gdyż sporo czasu upłynęło.