picasso

Komentując wyniki: prawie wszystko usunięte skryptami FRST, a AdwCleaner wykrył tylko dwa drobne klucze adware do usunięcia. Stary temat, więc nie wiem czy podejmowałeś już jakieś kroki. Tu nie dużo zostało do zrobienia, czyli uruchomienie AdwCleaner w trybie usuwania oraz standardowe czynności końcowe (DelFix i czyszczenie folderów Przywracania systemu).

1. AdwCleaner wykrył jeszcze wyszukiwarki adware w Google Chrome. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 2. Upłynęło sporo czasu. Na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition.

Zostały do usunięcia drobne szczątkowe odnośniki do klasy używanej przez malware. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A} DeleteKey: HKLM\SOFTWARE\Classes\Drive\shellex\FolderExtensions\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A} DeleteKey: HKU\S-1-5-21-2807787745-202846158-3995719364-1000\Software\Classes\Drive\ShellEx\FolderExtensions\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A} Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{F6BF8414-962C-40FE-90F1-B80A7E72DB9A} {3EC36F3E-5BA3-4C3D-BF39-10F76C3F7CC6} 0xFFFF" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{F6BF8414-962C-40FE-90F1-B80A7E72DB9A} {3EC36F3E-5BA3-4C3D-BF39-10F76C3F7CC6} 0xFFFF" /f Reg: reg delete "HKU\S-1-5-21-2807787745-202846158-3995719364-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{F6BF8414-962C-40FE-90F1-B80A7E72DB9A} {3EC36F3E-5BA3-4C3D-BF39-10F76C3F7CC6} 0xFFFF" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

Wszystkie zadania pomyślnie wykonane. Zostały więc czynności końcowe, o ile już ich samodzielnie nie wykonałeś: Usunięcie FRST i jego logów z "Nowy folderu" na Pulpicie. Zastosowanie DelFix oraz wyczyszczenie folderów Przywracania systemu: KLIK.

Adresując stary zaległy temat: Programy Adobe w starych niebezpiecznych wersjach, zagrożenie exploitami i infekcjami m.in. szyfrującymi dane, co tu definitywnie miało miejsce. Natomiast SUPERAntiSpyware traktowany jako "zbędny program", jego właściwości usuwające są dziś bardzo słabe, nie jest już polecany na forach usuwania malware. W każdym razie dostarczone raporty wskazują, że prawie wszystko zostało pomyślnie wykonane (z wyjątkiem przeczyszczenia autoryzacji w Zaporze systemowej, komenda netsh zwróciła błąd). Nie wiem czy nadal masz dostęp do tego komputera, ale wypadałoby wykonać jeszcze: 1. Doczyszczenie autoryzacji i Tempów przy udziale poniższego skryptu FRST: FirewallRules: [{E6A649FE-39F0-42E5-87F6-BDED50247BDD}] => (Allow) C:\Windows\SysWOW64\dfrg\minerd.exe FirewallRules: [{719917DC-C6C0-4568-A73B-6CD8A5C14850}] => (Allow) C:\Windows\SysWOW64\dfrg\minerd.exe FirewallRules: [{A556DD87-01FB-4BEE-8232-6C84D8EB5728}] => (Allow) C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe FirewallRules: [{34BC113D-4470-44B3-BF57-2DD39E9649B6}] => (Allow) C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe FirewallRules: [{CF97C6F5-94DF-4DD6-B1E3-EE2262BF4049}] => (Allow) C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe FirewallRules: [TCP Query User{91570C2C-BA8E-4AA3-87E2-A6417A6DCF0D}C:\users\ewa\appdata\local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30}\syshost.exe] => (Block) C:\users\ewa\appdata\local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30}\syshost.exe FirewallRules: [UDP Query User{8E17E1A2-1F3A-4905-9454-EA7BC8D4B491}C:\users\ewa\appdata\local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30}\syshost.exe] => (Block) C:\users\ewa\appdata\local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30}\syshost.exe EmptyTemp: 2. Diagnostyka poniższego odczytu z FRST Addition: ==================== Punkty Przywracania systemu ========================= Sprawdź usługę "winmgmt" lub napraw WMI. 3. Czynności końcowe z wiadomego tematu: KLIK.

Wszystko pomyślnie usunięte, problem adware rozwiązany. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Podróże Grovera C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Acer\Desktop\Stare dane programu Firefox 2. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do wykonania kompleksowa aktualizacja systemu do wersji 8.1. Posiadasz goły niewspierany Windows 8, dla którego już nie są dostarczane aktualizacje: Platform: Windows 8 (X64) Język: Polski (Polska) Internet Explorer Wersja 10 (Domyślna przeglądarka: FF)

Nie prosiłam o nowe logi FRST i je usuwam. Miałeś przedstawić tylko plik fixlog.txt, a po tym skorzystać z Delfix i wyczyścić foldery Przywracania systemu. I skasuj ręcznie FRST i jego logi z D:\Pobrane. Temat rozwiązany. Zamykam. Wątek sprzętowy już analizowany z osobna.

O ile problem nadal aktualny ... Wszystko zostało poprawnie usunięte, a dodatkowo skan SFC wykrył i naprawił zmodyfikowane pliki, w tym dnsapi.dll ściśle powiązany z funkcjonowaniem sieci: 2016-02-12 23:00:06, Info CSI 00000343 [SR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:18{9}]"sethc.exe" from store 2016-02-12 23:00:06, Info CSI 00000344 [SR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:20{10}]"dnsapi.dll" from store Ale jest tu jeszcze przeoczona przeze mnie modyfikacja serwerów DNS: Tcpip\..\Interfaces\{1F8531A7-15B1-42A3-9B1D-36872E4EA606}: [NameServer] 104.197.191.4 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Zasady działu. Tytuł tematu nieodpowiedni i zmieniam na bardziej odpowiadający problemowi. Jeśli chodzi o problem wyskakujących stron z hazardem, to jest tu infekcja serwerów DNS. W Windows (oraz pobrane wcześniej z routera) ustawione izraelskie serwery: KLIK. Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2780f41b-4ea8-4a45-9ef1-0ce5c9afbc09}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{5a1e0f2b-42f3-4f82-8c58-5bda93dfd834}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{fec9119d-8c9f-484b-adc2-ca4b012f847b}: [DhcpNameServer] 82.163.143.171 Prócz tego jeszcze jest śmieć BingSvc, ale to sprawa poboczna, wpis startowy został zresztą wyłączony za pomocą Menedżera zadań. Oraz odpadki po niepożądanym proramie Reimage Repair, co dopiero doładowanym. Działania do wykonania: 1. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2481723069-2374360742-2865231614-1001\...\Run: [bingSvc] => C:\Users\Władek Szewc\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-13] (© 2015 Microsoft Corporation) Task: {312AA6ED-FBEB-46F7-A6F7-5CCB965766E1} - System32\Tasks\avast! Windows 10 Start Menu helper => c:\program files\avast software\avast\asww10mon.exe Task: {A8948329-28F6-4198-A08B-CC521397449E} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku SearchScopes: HKLM-x32 -> DefaultScope - brak wartości FF NetworkProxy: "type", 4 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Reimage RemoveDirectory: C:\Users\Władek Szewc\AppData\Local\Microsoft\BingSvc Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: del /q "C:\Users\Władek Szewc\AppData\Roaming\*.*" CMD: del /q "C:\Users\Władek Szewc\Downloads\ReimageRepair*.exe" CMD: del /q C:\WINDOWS\Reimage.ini CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Wszystko pomyślnie wykonane. PriceFountain usunięte. Na wszelki wypadek uruchom jeszcze AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nie ma oznak wykonania tej operacji: Do wdrożenia. Po tym zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Operacje pomyślnie wykonane. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Wytnij ze skryptu linię CloseProcesses: i ponów operację.

Zabrakło głównego raportu FRST.txt, ale to już sobie możemy darować. Potwierdzam pomyślnie usunięcie infekcji. Końcowe kroki: 1. Przez SHIFT+DEL (omija Kosz) dokasuj poniższy folder i puste skróty: 2016-02-01 15:29 - 2016-02-01 15:29 - 00000000 ____D C:\Users\Public\Documents\dmp Shortcut: C:\Users\niestetytak\AppData\Roaming\Microsoft\Excel\SZCZEGÓŁOWY%20RACHUNEK%20ZYSKÓW%20I%20STRAT1304997873459696533\SZCZEGÓŁOWY%20RACHUNEK%20ZYSKÓW%20I%20STRAT1.xls.lnk -> D:\pulpit\IWONKA\DULLEK kopia 30.03.12\DOKUMENTY IWONA\ARCHIWUM\pendrive\PROGNOZY FINANSOWE\SZCZEGÓŁOWY RACHUNEK ZYSKÓW I STRAT1.xls (Brak pliku) Shortcut: C:\Users\niestetytak\AppData\Roaming\Microsoft\Excel\koszty%20zleceń304997873466102276\koszty%20zleceń.xls.lnk -> D:\pulpit\IWONKA\DULLEK kopia 30.03.12\DOKUMENTY IWONA\ARCHIWUM\pendrive\kopia z 3.02.11\koszty zleceń.xls (Brak pliku) Shortcut: C:\Users\niestetytak\AppData\Roaming\Microsoft\Excel\dane%20bilansowe304997873461102237\dane%20bilansowe.xls.lnk -> D:\pulpit\IWONKA\DULLEK kopia 30.03.12\DOKUMENTY IWONA\ARCHIWUM\pendrive\kopia z 3.02.11\DANE BILANSOWE\dane bilansowe.xls (Brak pliku) 2. Zastosuj DelFix + wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Zabrakło głównego raportu FRST.txt. Ale w sumie to nie takie potrzebne, gdyż nie były wykonywane zasadnicze modyfikacje w tym obszarze. Infekcja PriceFountain pomyślnie usunięta. Końcowe kroki, o ile samodzielnie ich ich już nie wykonałeś: Usunięcie pobranego FRST i jego logów z "Nowego folderu" na Pulpicie. Następnie zastosowanie DelFix oraz wyczyszczenie folderów Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Fix FRST pomyślnie wykonany. Na koniec zastosuj DelFix. Upewnij się, że zniknął też folder G:\FRST. Temat rozwiązany. Zamykam.

Drobne poprawki: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres istartsurf.com Ustawienia > karta Ustawienia > Osoby > skasuj wszystkie Osoby, z wyjątkiem bieżącej. 2. Otwórz Notatnik i wklej w nim: S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\f.lux DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe] => Enabled:Spybot - Search & Destroy tray access StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe] => Enabled:Spybot-S&D 2 Scanner Service StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe] => Enabled:Spybot-S&D 2 Updater StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe] => Enabled:Spybot-S&D 2 Background update service RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Malwarebytes CMD: del /q C:\Users\Adam\Downloads\77yve7r0.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

W systemie są klasyczne infekcje adware, nabyte przy udziale "Asystentów pobierania": KLIK. Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj: Adobe Flash Player 10 ActiveX, Browser Configuration Utility, HP Customer Participation Program 14.0, Java 8 Update 66. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\TSv\TSvr.exe [116368 2016-03-17] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [183488 2016-01-12] (TODO: ) R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ\WdMan.exe [295424 2016-03-15] (TFuns LIMITED) [brak podpisu cyfrowego] S2 PicexaService; C:\Program Files\Picexa\PicexaSvc.exe [X] U2 CertPropSvc; Brak ImagePath S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] S1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X] HKLM\...\Run: [] => [X] HKLM\...\Run: [unlockerAssistant] => "C:\Program Files\Unlocker\UnlockerAssistant.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638&q={searchTerms} FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\deskCutv2@gmail.com FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\yahooprotected@gmail.com FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\default_newtabff@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1458233169&z=b5922899e47261a5662c0eeg1z6w8bfoec4c1g7m0o&from=wpm0314&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1458233169&z=b5922899e47261a5662c0eeg1z6w8bfoec4c1g7m0o&from=wpm0314&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (2).lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 StandardProfile\AuthorizedApplications: [C:\Documents and Settings\HZ.HOME-1\Ustawienia lokalne\Temp\7zS3F.tmp\SymNRT.exe] => Enabled:Norton Removal Tool C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Dane aplikacji\pWdMp C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\eCyber C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\HPAppData C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\TSv C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\HZ.HOME-1\Moje dokumenty\FAKTURY\FAKTURY.lnk C:\Documents and Settings\HZ.HOME-1\Pulpit\Skrót do FAKTURY.lnk C:\Documents and Settings\Właściciel\Dane aplikacji\HpUpdate C:\Program Files\Mozilla Firefox\plugins C:\Program Files\SFK C:\WINDOWS\system32\123.html C:\WINDOWS\system32\pl.html C:\WINDOWS\system32\_tWm RemoveDirectory: C:\Documents and Settings\HZ DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj Internet Explorer 8. Link w przyklejonym: KLIK. 4. Są tu dwa zasadnicze konta użytkowników i to właśnie to drugie HP wygląda na bardziej zainfekowane, wnioskując po śladach pośrednich w logach: ==================== Konta użytkowników: ============================= HZ (S-1-5-21-725345543-343818398-1606980848-1006 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\HZ.HOME-1 Właściciel (S-1-5-21-725345543-343818398-1606980848-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Właściciel Po kolei zaloguj się na te konta i na każdy zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, plik Shortcut za to już niepotrzebny. Dołącz też plik fixlog.txt.

projektfotograf, proszę dodaj dane wymagane działem Hardware. Operacja w Autoruns to rzecz poboczna (i raczej kosmetyczna) i nie ma związku z problemami. Odpowiadając na pytanie: uruchom Windows w trybie awaryjnym, i z tego poziomu uruchom program Autoruns.

Zadane operacje pomyślnie wykonane. W root dysków nie ma też żadnych plików Sality widocznych. Teraz: 1. Dla pewności powtórz skan Kasperskim dla każdego dysku z osobna. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu. Przez SHIFT+DEL (omija Kosz) ręcznie dokasuj foldery po skanerach: C:\$360Section C:\KVRT_Data 2. Trzeba wymienić poniższe produkty najnowszymi wersjami: ==================== Zainstalowane programy ====================== Adobe Reader XI - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated) Java™ 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216030FF}) (Version: 6.0.300 - Oracle) Problemy prawdopodobnie były wynikiem ingerencji Sality w pliki wykonalne. Instalacje aplikacji, gdy wirus jest aktywny, mijają się z celem. Obecnie infekcja nie jest jednak aktywna. Zadałam instalację IE8 z dwóch powodów: przebicie plików Internet Explorer czystymi niezawirusowanymi wersjami oraz zabezpieczenie systemu (IE6 to dramatycznie dziurawa wersja). Gdy ukończysz czyszczenie systemu, spróbuj ponownie doinstalować wszystkie brakujące aktualizacje.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Są tu wprawdzie obiekty adware/PUP (BingSvc w starcie), ale to ma podrzędne znaczenie i tym się na teraz nie zajmuję. 1. Dodaj raport FRST na następującym ustawieniu: odznacz pola Usługi i Sterowniki, w celu pokazania usług Microsoftu. 2. Jeśli chodzi o log z operacji SFC, opis sugeruje, że próbujesz bezpośrednio otwierać plik CBS.log. Miałeś stworzyć log filtrowany w sposób automatyczny. Wytyczne także w tym temacie: KLIK

Dodałeś raporty z drugiego konta. To nie te o które mi chodziło. Poprzednie konto (które miałam na uwadze) najwyraźniej teraz usunąłeś i założyłeś nowe konto. Nowego konta nie ma co sprawdzać. Na zakończenie: 1. Dokasuj jeszcze szczątkowe foldery. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Google RemoveDirectory: C:\Users\Łukasz\Desktop\Stare dane programu Firefox RemoveDirectory: Ścieżka usunięta na prośbę autora Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix (wcześniej też go używałeś i nie wiadomo w jakim celu) oraz wyczyść foldery Przywracania systemu: KLIK. A problem z komunikatami o dysku jak mówiłam do działu Hardware. Z dyskiem może być coś nie w porządku, gdyż na dysku są foldery po checkdisku oraz folder z uszkodzoną nazwą - skasuj ręcznie "Ĺukasz": 2016-04-10 16:35 - 2013-01-28 22:50 - 00000000 ____D C:\Users\Ĺukasz\AppData\Local\libimobiledevice 2016-04-10 16:37 - 2015-02-13 19:40 - 00000000 ____D C:\found.002

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.

Zadania usuwające pomyślnie wykonane. Czekam na raporty z drugiego konta. Wg raportu FRST nie ma tu problemu z wolnym miejscem na dysku: ==================== Dyski ================================ Drive c: () (Fixed) (Total:141.49 GB) (Free:105.95 GB) NTFS Drive d: () (Fixed) (Total:141.5 GB) (Free:81.28 GB) NTFS I problem tego komunikatu to osobny wątek do działu Hardware. Zasady tego działu: KLIK.

Czy obecnie normalne logowanie bez trybu incognito nadal zwraca ten komunikat? Fix FRST uruchomiłeś aż trzy razy, co było bez sensu. Fix jest jednorazowego użytku i nie przetworzy ponownie tego samego. I drobne poprawki na szczątki po deinstalacjach. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Norton Internet Security RemoveDirectory: C:\Program Files (x86)\NortonInstaller RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\Users\M\AppData\Local\F-Secure RemoveDirectory: C:\Users\M\AppData\Local\FSDART Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.