picasso

Tak, zadania wykonane. Skasuj z Pulpitu folder frst. Temat rozwiązany. Zamykam.

AdwCleaner znalazł jeszcze drobne szczątki adware. Uruchom go ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń, dostarcz wynikowy log z usuwania.

Wander Burst wyglądał na starą instalację, datowanie komponentów na lipiec 2015. Fix FRST pomyślnie wykonany. AdwCleaner wykrył jeszcze szczątki adware, toteż uruchom go ponownie, wybierz po kolei opcje Skanuj + Usuń i dostarcz wynikowy log z czyszczenia.

Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam.

AdwCleaner miałeś pobrać z podanego linka i uruchomić wg wskazówek...

AdwCleaner nic nie wykrył. Kończymy: 1. Skasuj ręcznie pobrany FRST i jego logi z D:\FOLDER POBIERANIA\frst. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj Adobe Flash Player 20 ActiveX do najnowszej wersji. W w/w linku jest link pobierania.

AdwCleaner wykonał swoje zadania, a serwery DNS są już poprawne. Na koniec standardowe kroki: 1. Usuń z G:\Narzedzia pobrane skanery i ich logi. Następnie skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do aktualizacji poniższe programy. Linki pobierania również w w/w odnośniku. ==================== Zainstalowane programy ====================== Adobe Reader XI (11.0.08) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated) Java 8 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218060F0}) (Version: 8.0.600.27 - Oracle Corporation)

Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.

AdwCleaner wykonał zadania w sposób kompletny. Kończymy: 1. Usuń z Pobranych folder Frrr z FRST i jego logami. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj stare wersje Adobe Flash i Java. Najnowsze pod tym samym w/w linkiem. ==================== Zainstalowane programy ====================== Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.305 - Adobe Systems Incorporated) Java 7 Update 51 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417051FF}) (Version: 7.0.510 - Oracle) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle)

AdwCleaner wykrył jeszcze drobne szczątki adware. Uruchom go ponownie, tym razem po kolei zaznacz Skanuj + Usuń i dostarcz log wynikowy z czyszczenia.

W raportach nic podejrzanego, żadnych oznak infekcji. PS. Do wykonania skrypt kosmetyczny usuwający puste wpisy i skróty plus czyszczący Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {38062ECB-3FCE-4CBF-93D7-F9CAD7262D7B} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {45EC4FE0-045D-4469-AC8A-93E064A6C772} - System32\Tasks\{268D8C41-152B-4EE7-824C-EDA1250EB2DA} => pcalua.exe -a C:\Users\Marcin\Desktop\winsdk_web.exe -d C:\Users\Marcin\Desktop Task: {A3AC532F-3628-44DC-BE01-481A7ED6CEC3} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe HKLM-x32\...\Run: [iTSecMng] => %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START HKU\S-1-5-21-4055069894-3430905193-1362563562-1001\...\Policies\Explorer: [] HKU\S-1-5-21-4055069894-3430905193-1362563562-1001\...\MountPoints2: {d7b99d40-11ca-11e5-ae10-806e6f6e6963} - G:\Setup.exe nonauto HKU\S-1-5-21-4055069894-3430905193-1362563562-500\...\Run: [LightScribe Control Panel] => C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Gaming Evolved.lnk C:\Users\Hubert\Desktop\gta_sa — skrót.lnk C:\Users\Hubert\AppData\Local\Microsoft\Windows\GameExplorer\{C047D1C1-737A-45D0-937A-E9914F7E7A3C} C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander 64 bit.lnk C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Android SDK Tools EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są potrzebne.

Tytuł tematu zmieniony na sygnalizujący problem zasadniczy. I to już kolejny temat dziś, który wskazuje, że zasady działu nie zostały przeczytane. Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Prawdopodonie PriceFountain nabyłeś z dobrychprogramów: KLIK. Ale prócz PriceFountain są tu inne liczne odpadki adware, w tym poszkodowana przeglądarka Google Chrome przekształcona przez adware w wersję "developerską" (niezbędna reinstalacja od zera). Poza tym, w systemie jest zainstalowany potwornie stary pakiet McAfee z 2011. Działania do przeprowadzenia: 1. Odinstaluj: Google Chrome, Java 7 Update 40, Java 7 Update 51 (64-bit), McAfee Internet Security Suite, McAfee Security Scan Plus, McAfee SiteAdvisor, Norton Online Backup. Przy deinstalacji Google Chrome zaznacz opcję Usuń także dane przeglądarki, a resztę doczyści skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {143B3868-4645-4555-8006-2AA499A7E31D} - System32\Tasks\SpaceUpgrade => c:\programdata\{3650e92b-232d-ce97-3650-0e92b232a4ac}\2850959861370831500b.exe Task: {1BAD748E-011F-4FC3-A74C-7AFB4765D733} - System32\Tasks\ScienceCrew => c:\programdata\{50a9d252-6ef0-a344-50a9-9d2526ef4949}\8115002811097907713b.exe Task: {1DD600E1-22B1-4864-B7A1-17C57BA65B56} - System32\Tasks\CaffeineCount => c:\programdata\{979074fc-0636-3380-9790-074fc063d3f0}\2715575361427690673b.exe Task: {269E3DAB-2C20-41E4-A8D6-E2432A4183C8} - System32\Tasks\PriceFountainUpdateVer => C:\Users\Jaco\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {27DFD405-743A-4489-A7AF-3449AEC5729B} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {2B834B6D-78C7-4104-ABAB-6165059F8468} - System32\Tasks\QuoteCatcher => c:\programdata\{a7e0c9a0-e246-0185-a7e0-0c9a0e242683}\2092140411279046342b.exe Task: {2D2335D9-1C31-4134-827D-A81E4E3AB5B8} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {3E1720B9-4914-4604-9465-F8849E689DF9} - System32\Tasks\JacoRurallySoaksV2 => Rundll32.exe BullionsLambast.dll,main 7 1 Task: {4AC7DC5A-0F94-4454-80F3-1F4F302C5E91} - System32\Tasks\FileHider => c:\programdata\{a69813c5-a470-f3b6-a698-813c5a474f16}\3000372313332692301b.exe Task: {71A9BC71-5F45-4BF8-BDB5-1B5B588C12D1} - System32\Tasks\{BFEB8FC7-689C-4779-BDB8-68A055D1EDDF} => pcalua.exe -a C:\Users\Jaco\Downloads\Alcohol.120\AutoLoader_AxLaUn.exe -d C:\Users\Jaco\Downloads\Alcohol.120 Task: {7AE209ED-70CE-411C-8685-A97488B35137} - System32\Tasks\CleverThink => c:\programdata\{645a6226-e237-bfd4-645a-a6226e23889b}\moto gp 2015 mugello full.exe Task: {83666F90-A041-4623-8850-4A6BD70E0BAB} - System32\Tasks\PainSmack => c:\programdata\{f5bf13e4-b9e0-acdf-f5bf-f13e4b9e4f92}\672055291538168118b.exe Task: {84C80A84-E08B-4A45-B824-A8069C5D5DCC} - System32\Tasks\TaskKeeper => c:\programdata\{8cbca74d-ad2b-edf7-8cbc-ca74dad29d36}\8281833679892879650b.exe Task: {86EDA41F-5BAE-41A8-9737-E7CB958846E5} - System32\Tasks\FilmCricket => c:\programdata\{7383938e-b14f-ab40-7383-3938eb144e3a}\3413450890209954238b.exe Task: {A709047D-FD8F-42FA-9F2B-34D5AAD8186F} - System32\Tasks\MedTracker => c:\programdata\{befaa9a1-0d76-bee2-befa-aa9a10d7a684}\6782759397254004819b.exe Task: {DC6E8F6C-6A1E-4555-AD55-4EDD86BBB7A4} - System32\Tasks\{35F60B36-05FC-48FC-A3D7-337563308127} => pcalua.exe -a "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AutoLoader_AxLaUn.exe" -d "C:\Program Files (x86)\Alcohol Soft\Alcohol 120" Task: C:\Windows\Tasks\CaffeineCount.job => c:\programdata\{979074fc-0636-3380-9790-074fc063d3f0}\2715575361427690673b.exe Task: C:\Windows\Tasks\CleverThink.job => c:\programdata\{645a6226-e237-bfd4-645a-a6226e23889b}\moto gp 2015 mugello full.exe Task: C:\Windows\Tasks\FileHider.job => c:\programdata\{a69813c5-a470-f3b6-a698-813c5a474f16}\3000372313332692301b.exe Task: C:\Windows\Tasks\FilmCricket.job => c:\programdata\{7383938e-b14f-ab40-7383-3938eb144e3a}\3413450890209954238b.exe Task: C:\Windows\Tasks\FitMaster.job => c:\programdata\{7433785d-f2b2-e4ab-7433-3785df2be177}\4256740252038999490b.exe Task: C:\Windows\Tasks\MedTracker.job => c:\programdata\{befaa9a1-0d76-bee2-befa-aa9a10d7a684}\6782759397254004819b.exe Task: C:\Windows\Tasks\PainSmack.job => c:\programdata\{f5bf13e4-b9e0-acdf-f5bf-f13e4b9e4f92}\672055291538168118b.exe Task: C:\Windows\Tasks\PriceFountainUpdateVer.job => C:\Users\Jaco\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\QuoteCatcher.job => c:\programdata\{a7e0c9a0-e246-0185-a7e0-0c9a0e242683}\2092140411279046342b.exe Task: C:\Windows\Tasks\ScienceCrew.job => c:\programdata\{50a9d252-6ef0-a344-50a9-9d2526ef4949}\8115002811097907713b.exe Task: C:\Windows\Tasks\SpaceUpgrade.job => c:\programdata\{3650e92b-232d-ce97-3650-0e92b232a4ac}\2850959861370831500b.exe Task: C:\Windows\Tasks\TaskKeeper.job => c:\programdata\{8cbca74d-ad2b-edf7-8cbc-ca74dad29d36}\8281833679892879650b.exe HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\...\Run: [NIRegistrationWizard] => C:\Nowy folder (2)\Shared\RegistrationWizard\Bin\RegistrationWizard.exe -autoDiscover 1 -displayIfNoneFound 0 -displayRegisterOptions 1 -sleepIfNoneFound 0 -locale 1045 HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\...\Run: [Auth0_37] => C:\Users\Jaco\AppData\Roaming\api-ncpl\adsl-1-0.exe [675842 2016-02-27] () HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\...\Run: [Auth9_24] => C:\Users\Jaco\AppData\Roaming\api-enum\adsl-1-0.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Gravity Space -> {8788dd2d-bed5-4071-8439-c822cef57bc8} -> C:\Program Files (x86)\Gravity Space\Extensions\8788dd2d-bed5-4071-8439-c822cef57bc8.dll => Brak pliku FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) S2 CxAudMsg; C:\Windows\system32\CxAudMsg64.exe [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S4 NIApplicationWebServer64; "C:\Program Files\National Instruments\Shared\NI WebServer\ApplicationWebServer.exe" -user [X] S3 OpcEnum; C:\Windows\SysWOW64\OpcEnum.exe [X] U3 DfSdkS; Brak ImagePath S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Norton Online Backup DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Jaco\AppData\Local\Google RemoveDirectory: C:\Users\Jaco\AppData\Local\RurallySoaks RemoveDirectory: C:\Users\Jaco\AppData\Roaming\api-enum RemoveDirectory: C:\Users\Jaco\AppData\Roaming\api-ncpl C:\Users\Jaco\AppData\Local\Temp.dat C:\Users\Jaco\AppData\Roaming\*.* Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Prawdopodobnie infekcję nabyłeś z "Asystenta pobierania" dobrychprogramów: KLIK. Operacje do wykonania: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj eBay Worldwide, Java 8 Update 51, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {308018C4-94E3-4753-AD44-73914E1CA519} - System32\Tasks\AcerSalvedFessedV2 => Rundll32.exe PuleSnarer.dll,main 7 1 Task: {432753D9-9FCD-48B4-A09A-9A2D94E5EB66} - System32\Tasks\{294FB0BC-5EEE-49AA-81AE-7FBDA2AED1E2} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_21_0_0_213_Plugin.exe -c -maintain plugin Task: {7461555A-5677-4AB7-AD8B-8AF760D19819} - System32\Tasks\{A5B26730-5183-4C6B-9D19-DDEEB031EB70} => pcalua.exe -a "C:\Program Files (x86)\WildGames\Uninstall.exe" Task: {875A90F7-86E5-409A-A8D0-2B3AC709F150} - System32\Tasks\{073B7FA4-E63B-3557-606A-2A8AF4EAECA6} => C:\Users\Acer\AppData\Roaming\{073B7~1\UPDATE~1.EXE Task: {9212BFD6-82F9-4B93-8B7A-ED074F236010} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\{073B7FA4-E63B-3557-606A-2A8AF4EAECA6}.job => C:\Users\Acer\AppData\Roaming\{073B7~1\UPDATE~1.EXE S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-01-16] () R2 themctrl; C:\Windows\SysWOW64\themctrl.dll [362496 2012-07-26] () [brak podpisu cyfrowego] R2 wbiosrvp; C:\Windows\SysWOW64\wbiosrvp.dll [290304 2012-07-26] () [brak podpisu cyfrowego] S3 massfilter; system32\drivers\massfilter.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] U4 WMCoreService; Brak ImagePath S3 ZTEusbmdm6k; \SystemRoot\system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; \SystemRoot\system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; \SystemRoot\system32\DRIVERS\ZTEusbser6k.sys [X] HKU\S-1-5-21-3138840116-3487521251-3672860119-1002\Software\Classes\.exe: exefile => HKU\S-1-5-21-3138840116-3487521251-3672860119-1002\Software\Classes\exefile: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [bEWINTERNET-PLSessionManager] => "C:\Program Files (x86)\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe" HKU\S-1-5-21-3138840116-3487521251-3672860119-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=92ddd5ce-7cd6-491a-906e-96ce819f3f6b ShortcutWithArgument: C:\Users\Acer\Desktop\iexplore — skrót.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.so-v.com/?type=ll&uid=92ddd5ce-7cd6-491a-906e-96ce819f3f6b DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-21-3138840116-3487521251-3672860119-1001\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-3138840116-3487521251-3672860119-1001\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Acer\AppData\Local\SalvedFessed RemoveDirectory: C:\Users\Acer\AppData\Local\Opera Software RemoveDirectory: C:\Users\Acer\AppData\Roaming\Opera Software RemoveDirectory: C:\ProgramData\Temp C:\Windows\System32\DRIVERS\EsgScanner.sys C:\Windows\SysWOW64\themctrl.dll C:\Windows\SysWOW64\wbiosrvp.dll Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcu i powstały trzy logi. Dołącz też plik fixlog.txt.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Infekcję wprowadził poniższy plik "Asystenta pobierania" dobrychprogramów. Więcej na temat praktyk tego serwisu: KLIK. 2016-03-29 18:38 - 2016-03-29 18:38 - 01023280 _____ (Hesudemo ) C:\Users\Łukasz\Downloads\Adobe-AIR-13092-dp.exe Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {186211EC-E92C-4CBD-914C-CF4781295BC6} - System32\Tasks\{D3166F84-2C6D-43C7-99F6-31D4994DFA0A} => pcalua.exe -a "C:\Program Files\Nikon\ViewNX 2\Nikon Movie Editor\UninstLauncher.exe" -d "C:\Program Files\Nikon\ViewNX 2\Nikon Movie Editor" Task: {3C000FEB-4E61-4B13-AC60-64F28EA695E4} - System32\Tasks\{9ADA0588-F740-4CF9-879B-AEB6DA8EBF65} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142.exe Task: {3D71A4FE-447B-4E7B-9022-3E8D76E47940} - System32\Tasks\{AECC2C44-6E12-4698-B089-46E9C27E80E4} => pcalua.exe -a C:\Users\Łukasz\Downloads\jre-8u45-windows-i586-iftw.exe -d C:\Users\Łukasz\Downloads Task: {3F185FA2-200D-45B1-A4C1-B3FEF485AAEB} - System32\Tasks\{71B8EDEB-BF0E-4B31-B169-F1CA7C08C544} => pcalua.exe -a C:\Users\UKASZ~1\AppData\Local\Temp\jre-8u66-windows-au.exe -d C:\windows\system32 -c /installmethod=jau FAMILYUPGRADE=1 Task: {4C4DE613-FC68-49A7-BCFE-7C69EF0367F9} - System32\Tasks\{CB638CCF-4F0F-4143-94B1-C8645AADD90F} => C:\Users\Łukasz\Desktop\Mojosoft_BusinessCards_MX_4.84_Portable\Mojosoft_BusinessCards_MX_4.84_Portable\BusinessCardsMX.exe Task: {4C743435-DF71-4BD9-83C2-9DC5C5ACF869} - System32\Tasks\{197B5A63-D2FD-4DC3-9ECB-79CD8E744CA9} => pcalua.exe -a C:\Users\Łukasz\Downloads\jre-8u65-windows-i586-iftw(1).exe -d C:\Users\Łukasz\Downloads Task: {4E9E101A-3F6B-4F4A-ACF0-4B413FE3D2F2} - System32\Tasks\{10416630-9868-4FCB-85D5-562CEAC317AC} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142.exe Task: {5D0A75A0-56F8-4E15-9CDD-9596DEE2E5DD} - System32\Tasks\{00C5C9DA-572F-4431-A02B-3C2381AFEFBD} => pcalua.exe -a C:\Users\Łukasz\Downloads\F-D7100-V102W.exe -d C:\Users\Łukasz\Downloads Task: {6AB504BF-21BE-499A-9D6C-ADAF22AE9FDE} - System32\Tasks\{9E46DC9F-57EF-47F8-8D67-252C12DF05E3} => C:\Users\Łukasz\Desktop\Pobrane\jxpiinstall.exe Task: {6F28FC66-4F2C-46E5-9C4E-25EA56C3EA42} - System32\Tasks\ŁukaszGormandPageantryV2 => Rundll32.exe RemittersHumanizer.dll,main 7 1 Task: {70F1E517-71C0-42A4-A1A5-806C4493AA74} - System32\Tasks\ŁukaszMaculateBathV2 => Rundll32.exe CouldestFeigned.dll,main 7 1 Task: {72866BC7-4697-4096-B46D-896109155334} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 35 => C:\Program Files\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {7F6F8A97-1CFC-4ACE-A84E-501CFAD6FE9F} - System32\Tasks\Scheduled scanning task => C:\PROGRA~1\PAKIET~1\apps\COMPUT~1\ANTI-V~1\fsav.exe Task: {8E7A9364-88C4-47F2-A233-EBCE9858D294} - System32\Tasks\{689F1882-6071-4863-9BCE-2910307F1378} => C:\Program Files\Adobe\Adobe Photoshop Lightroom 5.4\lightroom.exe Task: {9290551E-1D4B-4B3F-8214-0FB34E38DDB7} - System32\Tasks\DLL-Files.Com Fixer_Updates => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {9B48D38C-DAAF-4709-B485-F3BD2040B714} - System32\Tasks\DLL-Files.Com Fixer_MONTHLY => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {A4AD0297-AF4B-4B6F-AA1B-85C8E95ADBFA} - System32\Tasks\{7CF8AD5C-208A-45E2-8F0E-3943B1C41A68} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142.exe Task: {A9FC2A1C-D713-4FD0-95C9-3454EA1FC3D7} - System32\Tasks\{ACAC7ADE-4511-466F-A245-1399625C8322} => C:\Program Files\NapiProjekt\napisy.exe Task: {B4B09BA2-FD21-4C2C-92DA-DEBD745CCC54} - System32\Tasks\{C0A33641-E8B5-4C11-AA3F-24947D3FCE59} => C:\Program Files\NapiProjekt\napisy.exe Task: {CD4DD588-43D5-4DC6-ADA7-57F9F84EF296} - System32\Tasks\{EAA2C7DC-500B-40E3-BA8A-F518B181BC03} => C:\Program Files\NapiProjekt\napisy.exe Task: {D193A266-682D-42C6-84D0-B15F53148BEE} - System32\Tasks\{8A7FFF42-6EB7-45C6-BB88-14B300F99288} => pcalua.exe -a "C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.7.2\GUninstaller.exe" -c -uprtc -key "BabylonToolbar" Task: {E05E6B0C-4B97-43C8-A448-57466AF6636F} - System32\Tasks\{0FD1EA8B-436E-4E40-B22E-0EED5DEE798E} => C:\Program Files\Nikon\ViewNX 2\Nikon Movie Editor\UninstLauncher.exe Task: {F0062415-8A85-4F49-9FB8-14BF91BF6629} - System32\Tasks\TechSmith Updater => C:\Program Files\Common Files\TechSmith Shared\Updater\TSCUpdClt.exe Task: {F60C6A93-DDE1-48C5-8FE1-9C5813B57CFD} - System32\Tasks\{32BA01AE-A4F9-40D3-8A2C-0753ABF0052F} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142(1).exe Task: C:\windows\Tasks\DLL-Files.Com Fixer_MONTHLY.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: C:\windows\Tasks\DLL-Files.Com Fixer_Updates.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe HKU\S-1-5-21-604524677-2708395862-3557633927-1001\...\Run: [bingSvc] => C:\Users\Łukasz\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-02-29] (© 2015 Microsoft Corporation) HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości CHR HKLM\...\Chrome\Extension: [jfhffdajidfgpobcfdgilfcgbngginod] - CHR HKU\S-1-5-21-604524677-2708395862-3557633927-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jfhffdajidfgpobcfdgilfcgbngginod] - HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Łukasz\AppData\Local\Google RemoveDirectory: C:\Users\Łukasz\AppData\Local\GormandPageantry RemoveDirectory: C:\Users\Łukasz\AppData\Local\Microsoft\BingSvc C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Users\Łukasz\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox ze sponsorowanych przekierowań Bing: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Metric Collection SDK 35 pozostawiony po niechcianej instalacji sponsoringowego programu Lenovo > Dalej. 3. W systemie są dwa konta: - Na koncie Łukasz zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. - Na drugim koncie zrób nowy log FRST z opcji Skanuj (Scan), ale nie zaznaczaj Addition i Shortcut. Dołącz też plik fixlog.txt.

Tak, problemem jest infekcja routera. Powinnaś mieć adresy związane z Netia (przynajmniej pod takim IP widzę Cię na forum), a bieżący adres IP pobierany z routera zakreślony na kolorowo jest brytyjski: KLIK. Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Tcpip\..\Interfaces\{D2A7267B-1BE7-4BD7-B07E-0F0D34B34D29}: [DhcpNameServer] 80.243.191.66 8.8.8.8 Podaj jakim modelem routera dysponujesz. Do czyszczenia będą też szczątki adware w systemie, ale instrukcje podam zbiorczo z wytycznymi dla routera.

1. Fix FRST wykonany. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK 2. Odrębna sprawa to zabezpieczenia, prócz dbania o aktualizacje programów typu Adobe Flash. Spójrz do tego tematu: KLIK. Pod kątem infekcji szyfrujących do rozważenia z darmowych: Oczywiście niezbędny krok to wykonanie kopii zapasowej ważnych danych, umieszczonej na odizolowanym nośniku (np. dysk który nie jest na stałe podłączony).

Fix FRST pomyślnie wykonany. W zakresie czyszczenia Windows ze śmieci skończyłyśmy. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Z Office tak właśnie przypuszczałam, że to może być problem ścieżek kierujących na D. W tej sytuacji po prostu spróbuj go przeinstalować. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj ten zestaw: ==================== Zainstalowane programy ====================== Aktualizacja produktu Microsoft Office Excel 2007 Help (KB963678) (HKLM-x32\...\{90120000-0016-0415-0000-0000000FF1CE}_ENTERPRISE_{04E205D6-88B1-4652-B162-42DF2C3B1228}) (Version: - Microsoft) Aktualizacja produktu Microsoft Office Powerpoint 2007 Help (KB963669) (HKLM-x32\...\{90120000-0018-0415-0000-0000000FF1CE}_ENTERPRISE_{442ECBCF-94A7-48CC-8CD9-D31FFFD5FA86}) (Version: - Microsoft) Aktualizacja produktu Microsoft Office Word 2007 Help (KB963665) (HKLM-x32\...\{90120000-001B-0415-0000-0000000FF1CE}_ENTERPRISE_{128A36ED-21BE-4547-9FFE-5B85AEC735DD}) (Version: - Microsoft) Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version: - Microsoft) Microsoft Office Enterprise 2007 (HKLM-x32\...\ENTERPRISE) (Version: 12.0.6612.1000 - Microsoft Corporation) Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation) Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version: - Microsoft) Jeśli jednak będą jakieś błędy przy deinstalacji, podam dodatkowe kroki jak usunąć dane instalacyjne MSI.

Jak rozumiem, aktualizacja firmware przebiegła pomyślnie i wszytko też gładko skonfigurowałeś. Obecnie w raporcie FRST są wszędzie poprawne serwery DNS: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tcpip\..\Interfaces\{1E2A1F11-4A03-426F-8F5A-14DBD02B07CA}: [NameServer] 194.204.159.1 194.204.152.34 Tcpip\..\Interfaces\{5FC89302-4032-4B59-8CDB-A1DA9A751B5F}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Pozostałe akcje też OK. Jako że były tu też odpadki adware, poproszę jeszcze o wykonanie tego: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

1. Czy na pewno usuwałeś wpis Metric Collection SDK 35? Ja go nadal widzę w FRST Addition. 2. Pozostałe zadania pomyślnie wykonane. Jeszcze drobna poprawka. Otwórz Notatnik i wklej w nim: HKLM-x32\...\RunOnce: [spUninstallCleanUp] => REG delete HKEY_LOCAL_MACHINE\Software\SearchProtect /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Public\Pokki Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Ostatecznie spróbuj programów do odzyskiwania danych takich jak DMDE, PhotoRec. Programy należy uruchomić z innego dysku niż ten na którym są zdefektowane dane. W Twoim przypadku może to być świeżo sformatowany dysk C, bo jak rozumiem te ważne dane są właśnie na D i E. Jednak podejrzewam, że wyników pomyślnych nie uzyskasz. Po pierwsze, infekcje szyfrujące przeważnie stosują tzw. "bezpieczne usuwanie danych", by właśnie zapobiec użyciu narzędzi tego rodzaju. Po drugie: dyski były aktywne (operacje zapisu i nadpisywanie struktur na dysku), nie wiadomo kiedy nastąpiła infekcja i w jakim przedziale czasowym wystąpiło szyfrowanie. Ofiara nie wie, że szyfrowanie jest w tle, dopóki nie pojawią się notatki ransom, gdy to już proces się po prostu ukończył. Zaszyfrowane dane zostaw na wszelki wypadek, choć obecnie szanse są zerowe. Złamanie klucza jest awykonalne przy obecnych parametrach sprzętowych i mocy obliczeniowej. Nawiasem mówiąc, sformatowałeś dysk C, czyli usunąłeś także dane identyfikacyjne infekcji używane m.in. w procesie uzyskiwania klucza od przestępców, więc nawet gdybyś zdecydował się teraz im zapłacić (nie polecane działanie), to może być już niemożliwe.

Po wstępnym czyszczeniu sytuacja wygląda o niebo lepiej. Nie włączyły się, gdyż usunęłam wpisy startowe. Było też spodziewane, że proces czyszczenia będzie wieloetapowy. Kolejna porcja działań: 1. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > załóż nowy profil przeglądarki, zaloguj się na niego, a poprzednią Osobę usuń. 2. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> DefaultScope {3672D504-4E65-4A9B-8153-E40B027FA20E} URL = DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CleanBrowser RemoveDirectory: C:\Program Files (x86)\MPC Cleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk" CMD: del /q C:\Users\jan\Downloads\42wd5w3s.exe CMD: del /q C:\Users\jan\Downloads\kbirh3qo.exe CMD: del /q C:\Users\jan\Downloads\no0pol8z.exe CMD: del /q C:\Users\jan\Downloads\uk50tbun.exe CMD: del /q C:\Users\jan\Downloads\zsvprdjy.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Opisz czy nadal w przeglądarce (i której) pojawiają się reklamy.

Na teraz wykonaj podane działania. Potem dla pewności ponowisz skan Kasperskim, na każdym dysku po kolei. Nie może ostać się ani jeden plik z genem Sality, w przeciwnym wypadku nastąpi reinfekcja. Wszystkie pliki określone jako Sality muszą być wyleczone, a jeśli proces jest awykonalny, wyrzucone permanentnie z dysku. Skutkiem ubocznym infekcji i leczenia może być niedziałanie określonych programów i w takiej sytuacji należy je przeinstalować od zera ze świeżo pobranego instalatora. Inna sprawa to źródło infekcji. Przypuszczalnie zainfekowałeś system z jakiegoś urządzenia przenośnego. Czy posiadasz jakieś pendrivy i podobne, które były ostatnio podłączane?

Na przyszłość konfiguracja FRST obowiązująca tu na forum: KLIK. Opcje Lista BCD, MD5 sterowników i Pliki z 90-dni nie miały być zaznaczone. To funkcje pod szczególne infekcje, rzadko tu spotykane (niektóre stare i nie widziane od dawna). O zaznaczenie którejś z tych opcji prosi w określonych warunkach pomagający, gdy widzi podstawy do takiego kroku. W podanych tu raportach nie ma żadnych oznak infekcji powiązanej ze zgłoszeniami Facebooka, tylko mikro odpadki starych adware (nie mające związku). Działania do wykonania: 1. W kwestii Facebooka: - Do wglądu ten artykuł: KLIK. Czy uruchomiłeś skan F-Secure, który ma odblokować dostęp? - Na Facebooku sprawdź sekcję autoryzowanych aplikacji. Usuń stamtąd wszystkie nierozpoznane, nieużywane aplikacje. 2. Deinstalacje: - Przesadziłeś z oprogramowaniem zabezpieczającym, albo odinstaluj wszystko od AVG, albo Norton Internet Security. - Odinstaluj również Adobe Flash Player 21 NPAPI, Adobe Reader X (10.1.3) MUI, Java 7 Update 65. Pierwszy to wersja dla nieistniejącego tu Firefoxa, pozostałe to stare niebezpieczne wersje. Później zainstalujesz najnowsze z tego topiku: KLIK. 3. Usunięcie szczątków adware i pustych wpisów wtyczek z Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres searchgol.com, przestaw na "Otwórz stronę nowej karty". Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres searchgol.com. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pozostała kosmetyka (puste wpisy, czyszczenie Temp). Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-4228095435-3539589198-294085663-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=9AB61A67B090FA81&affID=119357&tt=240913_238&tsp=5016 SearchScopes: HKU\S-1-5-21-4228095435-3539589198-294085663-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9AB61A67B090FA81&affID=119357&tt=240913_238&tsp=5016 SearchScopes: HKU\S-1-5-21-4228095435-3539589198-294085663-1002 -> {60590C88-1622-486E-B747-262962D8010E} URL = BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> Brak pliku HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe" HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" Task: {0173BA3A-62CA-4CE4-8B68-FA41A70D014C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {022446F3-F44D-49B6-B64E-2930990CDD3D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {099DC917-FCFF-4010-9149-3AE2D2A1F2CC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {0F8BF956-42B3-434A-920D-C4005B8A0E70} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {2E0EEE15-74FA-49C2-936F-8846C8DDB0B5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {313CC494-4308-4EAE-A7C7-0A82FB7A6F26} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {3238624B-FF69-47B2-AD6C-2ED6B15331FD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3514D013-2EE0-449D-9D13-D3EA3B1E096F} - System32\Tasks\{77E25B86-A7DB-4F2B-AEE9-B7DFD207E190} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.0.0.102&LastError=12007 Task: {41D9D908-59C9-4DBE-A804-C40FC9168477} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {49EB086F-D186-4DE0-9E25-636C892335DB} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {5CF4E911-9E21-4B33-8ADF-D298121AAC2C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {758FA601-1399-4AD2-B5E6-B2FBD949DB5C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7FBBAD64-06D1-444B-ADB1-D5018F7CB5D9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {868F374A-109D-4319-AA2D-04ED6F636B2A} - System32\Tasks\AVG_SYS_TASK_0216piz_DELETE => C:\ProgramData\Avg_Update_0216piz\AVG-Secure-Search-Update_0216piz.exe [2016-02-16] () Task: {8F584FFE-D25B-47D8-84AE-3E5D39BCF09B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {A47527C4-AA50-4E5A-95CA-942F810215C8} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {A97D287B-7F35-4286-B695-9480E901C595} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {AD9F89CA-388B-4640-AA02-10A08993C9E7} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {B3094D41-2DC4-4FD0-9339-59B0292A3282} - System32\Tasks\SAgent => C:\Program Files\Samsung\S Agent\CommonAgent.exe Task: {BA50F2BB-DB69-4C51-8A8B-C44E001976D5} - System32\Tasks\{E64E5FCE-FD12-4B20-B0ED-CC381AB52BBE} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.1.0.105&LastError=404 RemoveDirectory: C:\ProgramData\DSearchLink DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak wygląda sytuacja po przeprowadzeniu kroków z punktu 1.

AdwCleaner wykrył jeszcze różne szczątki adware w rejestrze. Uruchom go ponownie, tym razem po kolei wybierz opcje Skanuj + Usuń, dostarcz wynikowy log z usuwania.

DelFix wykonał co należy. Skasuj plik C:\delfix.txt z dysku. To wszystko. Temat rozwiązany. Zamykam.

1. Za późno poprawiłam literówkę w jednej komendzie. Minimalna poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Na koniec zastosuj DelFix.