picasso

Wyszukiwarka adware została zablokowana na bazie polityk oprogramowania. Poza tym, są zmodyfikowane skróty LNK Google Chrome. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 DeskTop_F; C:\ProgramData\desktopfind\desktop173.exe [236728 2016-03-16] (DeskTopService) GroupPolicy: Restriction - Chrome ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=adbf5912-2bbf-4d6a-a71f-d411caa112e5 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=adbf5912-2bbf-4d6a-a71f-d411caa112e5 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=adbf5912-2bbf-4d6a-a71f-d411caa112e5 Task: {9A166C59-7F33-4643-B773-D19D894E783F} - System32\Tasks\{72A5913F-CB74-4AE8-BB6E-9079686DDCA3} => pcalua.exe -a C:\WINDOWS\SysWOW64\C2MP\Uninst.exe RemoveDirectory: C:\ProgramData\desktopfind EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Prawie wszystko pomyślnie usunięte. Na zakończenie: 1. Nie odinstalowałeś AVG Web TuneUp. Przeoczyłeś czy ominąłeś celowo? To zbędny "firmowy PUP" wykonujący niepożądane modyfikacje w preferencjach przeglądarek. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy adware, z wyjątkiem google.pl. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Do wykonania aktualizacja Java oraz kompleksowa aktualizacja Windows. Stan fatalny - brak SP1, IE11 i reszty łat. Do pobrania z Windows Update będzie około kilkaset aktualizacji... Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

arek16, zasady działu, tu nie wolno się podczepiać pod cudze tematy, chaos dyskusyjny: KLIK. Wydzielam w osobny. Pomimo że ta sama infekcja, Twój problem jest inny, gdyż chodzi o serwer danych. Jaki typ serwera, czy to komputer źródłowy infekcji, czy tylko dysk który był dostępny podczas infekcji z poziomu innego komputera? W pierwszym przypadku potrzebne raporty z FRST (FRST da się uruchomić na Windows Server), by ocenić czy infekcja jest aktywna. Jeśli nie był to jednak komputer źródłowy, tzn. dysk serwera był po prostu dostępny dla zewnętrznego procesu infekcji, analiza zjawiska nie zostanie tu wykonana, bo brak narzędzi. Sprzątanie będziesz musiał przeprowadzić samodzielnie. A z zaszyfrowanymi danymi nic nie jestem w stanie zrobić.

W systemie widać aktywną infekcję - plik Adobe.exe w Autostarcie. To odpadek po adware PriceFountain. W Harmonogramie zadań pozostał wpis MicgaPerformDemonetizedV2 próbujący to ładować. Najwyraźniej używałeś narzędzie usuwające CoinVaultDecryptor. To folder lokalnego źródła instalacji pakietu Office, używany m.in. do reperacji komponentów. Można go usunąć, pod warunkiem że masz płytę instalacyjną Office. W przeciwnym wypadku nie będziesz już w stanie Office naprawić. Wstępnie do przeprowadzenia następujące działania: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 17 NPAPI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Micga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe.exe [2015-04-02] () Startup: C:\Users\Micga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StartIsBack Plus 1.7.5 with Crack 2015 Download.lnk [2015-04-24] Task: {65EE22C1-F7A4-467E-AFEC-D5F771A2D95B} - System32\Tasks\MicgaPerformDemonetizedV2 => Rundll32.exe RoundupAstounded.dll,main 7 1 Task: {829E54D0-8E2A-4D97-A4C1-DF5C26F60FB8} - System32\Tasks\{5D3E6269-F3C7-4F41-8ADB-1B00E02E44BA} => pcalua.exe -a "C:\Program Files (x86)\Dental Soft Image\UNWISE.EXE" -d C:\PROGRA~2\DENTAL~1\ -c /W4 "C:\Program Files (x86)\Dental Soft Image\INSTALL.LOG" CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2593513844-2382193134-3315844502-1001\...\Run: [Trans] => C:\Program Files (x86)\Trans\trans.exe S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\system32\DRIVERS\ew_juwwanecm.sys [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Trans /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "StartIsBack Plus 1.7.5 with Crack 2015 Download.lnk" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Psi.lnk /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\Dental USB RemoveDirectory: C:\Program Files (x86)\Dental Soft Image RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\R.G. Catalyst RemoveDirectory: C:\Program Files (x86)\Samsung RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dental Soft Image RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery RemoveDirectory: C:\Users\Micga\AppData\Local\PerformDemonetized RemoveDirectory: C:\Users\Micga\AppData\Roaming\Petroglyph RemoveDirectory: C:\Users\Micga\AppData\Roaming\RST RemoveDirectory: C:\WINDOWS\msdownld.tmp C:\Users\Micga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Play Star Wars JK Jedi Academy Single Player (Safe Mode).lnk C:\Users\Michał\Desktop\amcapc.lnk C:\Users\Michał\Desktop\Dental Soft Image.lnk C:\Users\Michał\Desktop\Dental Usb.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są dwa konta: ==================== Konta użytkowników: ============================= Micga (S-1-5-21-2593513844-2382193134-3315844502-1001 - Administrator - Enabled) => C:\Users\Micga Michał (S-1-5-21-2593513844-2382193134-3315844502-1002 - Limited - Enabled) => C:\Users\Michał Po kolei z poziomu obu kont zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition ale już bez Shortcut. Na koncie limitowanym Michał uruchom FRST przez dwuklik a nie "Uruchom jako Administrator", by nie został zmieniony kontekst konta. Dołącz też plik fixlog.txt. Podsumuj jak działa system i czy są jeszcze jakieś problemy.

Zabrakło trzeciego obowiązkowego pliku FRST Shortcut.txt. Sterownik bsdriver nakłada filtr na woluminy, stąd trudności z jego usunięciem. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 20 PPAPI (to zresztą wersja dla nieobecnej tu Opery), Java 8 Update 40. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-03-26] () GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction Task: {22DEAC17-CFE9-48B5-827A-81BB2F2333B8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File Task: {44B9F7AD-0C5F-463E-AE72-3DE8791252BC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File Task: {5782FEBB-7896-42F9-97C8-EE41C651DE46} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File Task: {6E7079E2-2DEE-4744-A894-66CE82D2A577} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File Task: {80DAB343-6CEC-4EE6-B3D5-A0ADF577B6DD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File Task: {8673A145-4B43-4699-9560-1C36D9D55959} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File Task: {88851601-DA6A-45EE-A6B3-91060829C0A7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File Task: {B77E190B-AE5A-4B67-B88D-63774E8D2FD9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File Task: {D22D11BB-E985-461F-963B-C6B849E041B2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File Task: {D8CB05EC-8289-4335-87C5-33A357AFCBB4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File Task: {F76B67F3-E239-45D7-8AD6-002B34BF2353} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Brunoxp\AppData\LocalLow\Company RemoveDirectory: C:\Users\Public\Documents\dmp RemoveDirectory: C:\WINDOWS\system32\fiu RemoveDirectory: C:\WINDOWS\system32\lub RemoveDirectory: C:\WINDOWS\system32\kot RemoveDirectory: C:\WINDOWS\system32\rop RemoveDirectory: C:\WINDOWS\system32\rif RemoveDirectory: C:\WINDOWS\system32\vuts C:\WINDOWS\system32\Drivers\bsdriver.sys C:\WINDOWS\system32\Drivers\cherimoya.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\Number of results Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Ustaw go też jako domyślną przeglądarkę, gdyż obecnie żadna nie jest ustawiona. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Wszystko pomyślnie wykonane. Teraz jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Chodziło tylko o dostarczenie brakującego pliku Shortcut, FRST.txt zbędny i usuwam. Fix pomyślnie wykonany. Na koniec: Usuń ręcznie FRST z "Nowy folder (2)" na Pulpicie. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. To wszystko z mojej strony. Temat rozwiązany. Zamykam.

Kolejna porcja czynności: 1. Ta akcja nie została wykonana: 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu H:\AdwCleaner.

Ale ten crack aktywacji załadowałeś Ty, właśnie przy kombinacjach z Office. Te manipulacje po prostu uszkodziły aktywację Windows. Fix pomyślnie wykonany. Teraz jeszcze na wszelki wypadek zrób kompleksowy skan za pomocą ESET Online Scanner. Dostarcz wyniki.

Brak oznak infekcji. Skoro ponowna zmiana hasła pomogła, a na dodatek system został zaktualizowany do Wersji 1511 i ustąpiły pozostałe problemy, nie za bardzo mam tu czym się zajmować. Do wykonania tylko działania poboczne i mini skrypt kosmetyczny (wpisy odpadkowe i czyszczenie Tempów): 1. Odinstaluj stare wersje: Google Talk (już nie działa), Opera 12.17 oraz Spybot - Search & Destroy (przestarzały i mało skuteczny dziś program). 2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {029FC63B-DBDE-47EA-A44A-78F61D10047D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {0F3919E7-C47E-48FC-A0E5-787F8001257B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {203582CF-20E7-4087-BAA3-AA936E8BD501} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2607DE70-89E9-41E3-A9A0-3BBAB336549A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {37A466DA-2682-4D72-ACD6-6BE91AB77D45} - \PCDEventLauncherTask -> Brak pliku Task: {3DB59F2B-BFC6-43FB-8ED1-FC1BD6324B79} - System32\Tasks\{4DD82922-36AD-422F-A038-565FEA199568} => Chrome.exe hxxp://ui.skype.com/ui/0/7.0.0.102/pl/abandoninstall?page=tsMain Task: {5F780BBD-898A-492A-98CE-772B66D9BCE8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {76171945-FE73-4214-8C0A-BF6125308039} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Brak pliku Task: {8161C5F4-4E22-47E6-B63A-6E9A0B4C2571} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8BA0B7DE-988D-4F63-81AA-78750DE6D8A2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {953981DC-4EE8-43B0-B51B-4D9E7E79D37C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D0176E67-6F39-48E4-97BE-0D847343E733} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {E1517B68-55A9-420A-AC44-F706A28F4E5D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {EAB6DEF1-C0FC-4C04-B843-5D4CB3FAB5A8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku HKLM-x32\...\Run: [NPSStartup] => [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] ProxyServer: [s-1-5-21-1468987004-2938031274-1196183621-1001] => 66.35.68.146:3128 FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt RemoveDirectory: C:\AdwCleaner C:\Users\dzikczarownik\AppData\Local\{1C71D112-88A1-4C26-B433-5AAEFC4A84EA} CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Sugerowane kroki: 1. Odinstaluj "przyśpieszacz" AVG PC TuneUp. 2. W przypadku braku rezultatów przeprowadź test z czystym rozruchem: KLIK. 3. W przypadku braku rezultatów sprawdź czy Avast nie bruździ - testowa deinstalacja. Jeśli nie okaże się winny, przywrócisz go po prostu. PS. A w spoilerze kosmetyka, tzn. usunięcie pustych wpisów (m.in. po aktualizacji z Windows 7 do Windows 10). Bez związku z opisywanymi problemami i nie pomoże ich rozwiązać.

W podanych tu raportach nie widać żadnych oznak tytułej infekcji. Natomiast zastanawiają mnie serwery DNS pobierane z routera. One nie wskazują na polskiego dostawcę (pod którym widać Cię na forum) tylko UK: KLIK. To wygląda na infekcję routera. DNS Servers: 31.3.244.139 - 31.3.244.131 Jeśli chodzi o użyte narzędzia: - AdwCleaner zajmuje się detekcją tylko adware/PUP, a nie trojanów i wirusów. W ogóle się nie nadaje do detekcji Sality i podobnych zjawisk. - Był używany ComboFix i na ten temat: KLIK. Prawdopodobnie masz Windows instalowany z modyfikowanej płyty (wycięte określone usługi). Skutkiem uruchomienia ComboFix na takim XP jest dorobienie składników, których nie było. Prawdopodobnie poniższe usługi Windows w stanie nierozpoznanym to efekt końcowy tych "napraw". Niemniej zostawię je w spokoju. U5 Browser; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation) U5 lanmanserver; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation) U5 Messenger; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation) U5 Netlogon; C:\WINDOWS\system32\lsass.exe [13312 2014-04-20] (Microsoft Corporation) Wstępnie do wykonania następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj Adobe Flash Player 16 NPAPI. Nie dość, że stara wersje, to jeszcze dla Firefoxa, który tu nie jest zainstalowany. 3. Zresetuj cache wtyczek w Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-1220945662-1035525444-1417001333-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> S4 AIDA64Driver; \??\C:\Documents and Settings\Admin\Pulpit\aida64extreme460\kerneld.x32 [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S4 cpuz137; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\cpuz137\cpuz137_x32.sys [X] S4 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 eapihdrv; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\ehdrv.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\Program Files\AdwCleaner RemoveDirectory: C:\Qoobox RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\Windows Search.lnkCommon Startup CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj jaki masz model routera.

To odpowiada błędom z Dziennika zdarzeń. Jak wskazywałam, w systemie był także crack, który manipuluje z aktywacją Windows (a nie Office). Po czyszczeniu spróbujesz aktywować system przy udziale poprawnego klucza. Jeśli chodzi o usuwanie, wszystko zniknęło. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\MSI\AppData\Local\mpress RemoveDirectory: C:\WINDOWS\System32\Tasks\R@1n-KMS CMD: del /q "C:\Users\MSI\Downloads\[Electro-Torrent.pl] Microsoft Office Professional Plus 2016 PL v16.0.4266.1003 RTM [x86-x64] [iSO] + Aktywator v1.3.8.torrent" CMD: del /q "C:\Users\MSI\Downloads\Microsoft Office 2016 PRO Plus [PL] x32 x64 Klucz instrukcja aktywacji[Torrenty.org].torrent" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt.

Wszystko wygląda OK. Ostatnie kroki: 1. Otwórz Notatnik i wklej w nim: Task: {AF8F6EC3-B974-4FF9-930F-C9EF339EAFE5} - System32\Tasks\{2E182BA4-250E-457F-A7E5-9A9879CF7FA2} => c:\users\piotr nalewajko\appdata\local\browserair\application\browserair.exe FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_4; \??\C:\Program Files (x86)\MSI\Live Update\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). {Przedstaw wynikowyfixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix. To tyle.

Ten rodzaj infekcji został nabyty przy pobieraniu z któregoś portalu, przypuszczalnie dobreprogramy.pl: KLIK. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Bonjour, Gadu-Gadu 10, Java 7 Update 17, Java 8 Update 77. Również Chromium, jeśli nie było instalowane celowo. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0D33CDC0-F282-454A-90C3-9AF962DCE79F} - System32\Tasks\{1EBA0009-4404-4D71-BCF4-C8B623BF4A7E} => pcalua.exe -a "C:\Users\daria\AppData\Roaming\Enigma Software Group\sh_installer.exe" -c -r sh Task: {8F26C7E2-9388-4090-B30B-4F82F60B1EB9} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {A5343681-0E80-4513-A3FA-244DA523A189} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {D1771379-1A3A-4AD8-B2B2-8BA8FDE213E2} - System32\Tasks\{FFE90DBA-7721-4DA0-B43E-927B8AE4A2AD} => pcalua.exe -a "C:\Program Files\Mozilla Firefox\uninstall\helper.exe" Task: {EBCBFB83-D4BC-451F-A84A-51FDF7E59E43} - System32\Tasks\dariaFitsNonstructuralV2 => Rundll32.exe GlintPerfunctoriness.dll,main 7 1 S1 DritekPortIO; \??\C:\PROGRA~1\LAUNCH~1\DPortIO.sys [X] S1 GLogin; Brak ImagePath HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKU\S-1-5-21-1611919641-228698746-1015890716-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = BHO: Brak nazwy -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-09] DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24Update DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\Program Files\mozilla firefox\plugins RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses RemoveDirectory: C:\Users\daria\AppData\Local\FitsNonstructural RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\ALLPlayer Skin Creator.lnk C:\Users\daria\AppData\Local\*.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\daria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Coś tu się nie zgadza. Zadałam do usuwania wpisy yoursites123, Fix FRST zaraportował ich usunięcie, a one nadal są w ostatnim dostarczonym logu FRST... Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a15007-473&apn_uid=5555239400134351&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a15007-473&apn_uid=5555239400134351&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-785319261-2855401731-2711227746-1001 -> {7BD62F7F-9148-4D44-AD50-EB7F304C3DB5} URL = FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [brak pliku] CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S2 SafetyNutManager; C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe [X] S1 F06DEFF2-5B9C-490D-910F-35D3A91196222; \??\C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc3.cfg [X] S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Rodzice\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wprawdzie większość zadań wykonana, niemniej infekcje nadal czynne. Serwery DNS nie zostały poprawnie zedytowane - nadal stoją serwery infekcji. Dodatkowo, brak oznak by zostało wykonane czyszczenie przeglądarek Firefox i Opera. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{0A43B054-CF09-41EC-A96A-6B339C36B9BA}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{2182CF48-E448-481C-A35B-31C1239AA7FB}: [NameServer] 82.163.142.7 95.211.158.134 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Reimage Protector DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1 RemoveDirectory: C:\Users\Admin\.oracle_jre_usage RemoveDirectory: C:\Users\Admin\AppData\Local\Sparta RemoveDirectory: C:\Users\Admin\AppData\Local\Steam\htmlcache RemoveDirectory: C:\Users\Admin\AppData\LocalLow\Oracle RemoveDirectory: C:\Users\Admin\AppData\Roaming\Sun RemoveDirectory: C:\Users\Admin\AppData\Roaming\WarThunder CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Zaległe operacje do wdrożenia: 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

No tak, ale prosiłam też o nowe logi FRST (FRST.txt, Addition.txt, Shortcut.txt), które miałyby obrazować skuteczność procesów.

Trojany to skutki próby crackowania Office. Wygląda na to, że te detekcje BitDefender są pokłosiem zastosowania poniższego cracka, gdyż w raporcie pliki są listowane w tej samej linii czasowej. 2016-04-07 20:52 - 2016-04-07 20:52 - 00012032 _____ C:\Users\MSI\Downloads\[Electro-Torrent.pl] Microsoft Office Professional Plus 2016 PL v16.0.4266.1003 RTM [x86-x64] [iSO] + Aktywator v1.3.8.torrent Widać też ślady innych cracków i podejrzane obiekty, np. to: KLIK. W Dzienniku zdarzeń masz podobne błędy aktywacji: Dziennik Aplikacja: ================== Error: (04/08/2016 08:02:33 AM) (Source: Software Protection Platform Service) (EventID: 1062) (User: ) Description: Przenoszenie identyfikatora potwierdzenia nie powiodło się. 0xC004F02F Identyfikator jednostki magazynowej = de52bd50-9564-4adc-8fcb-a345c17f84f9 Error: (04/08/2016 08:00:13 AM) (Source: Software Protection Platform Service) (EventID: 1014) (User: ) Description: Pozyskanie licencji użytkowania nie powiodło się. hr=0x80072EE7 Identyfikator SKU=de52bd50-9564-4adc-8fcb-a345c17f84f9 Error: (04/08/2016 08:00:13 AM) (Source: Software Protection Platform Service) (EventID: 8200) (User: ) Description: Szczegóły błędu pozyskiwania licencji. hr=0x80072EE7 Wszystko zostanie zlikwidowane. Działania do przeprowadzenia: 1. Usuń wszystkie pobrane cracki. W miarę możliwości postaraj się odwrócić ich działanie, o ile dostarczają mechanizm odwracania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [22528 2016-04-07] () [brak podpisu cyfrowego] HKU\S-1-5-21-777929965-1544455550-2214287231-1004\...\Run: [WerFault] => C:\Users\MSI\AppData\Roaming\25067.exe [902144 2016-04-08] () IFEO\OSppSvc.exe: [Debugger] R@1n-Hook.exe S3 ptun0901; C:\Windows\System32\drivers\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) Task: {8F7775F2-65C7-40FF-BA36-E7F0A85E8652} - System32\Tasks\{6357AF70-4EBE-482A-97E5-D1A00B99FB4F} => pcalua.exe -a "C:\Program Files (x86)\The Elder Scrolls V Skyrim\TESV.exe" -d "C:\Program Files (x86)\The Elder Scrolls V Skyrim" Task: {E7B75E83-7EBF-4E52-914E-E2E08863F08E} - System32\Tasks\R@1n-KMS\KMS-Restart => start KMS-R@1n Task: {F02D46B2-385B-4014-B522-275FFC3F794C} - System32\Tasks\{CA0C064E-2BB3-4818-BCEC-B8769A35787F} => pcalua.exe -a "D:\Gry\Ryse Son of Rome\Bin64\Ryse.exe" -d "D:\Gry\Ryse Son of Rome\Bin64" Task: {FCEAFFF1-8302-4495-87AD-CCD4AD6B092A} - System32\Tasks\{BBCA40AC-428E-47FE-B1B4-D275C2DF1AE9} => pcalua.exe -a "D:\Gry\Insane 2\i2.exe" -d "D:\Gry\Insane 2" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\KMSAuto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim C:\Users\MSI\AppData\Local\Mozilla C:\Users\MSI\AppData\Local\MSfree Inc C:\Users\MSI\AppData\Roaming\*.exe C:\Users\MSI\AppData\Roaming\Mozilla C:\WINDOWS\KMS-R@1n.exe C:\WINDOWS\QAD-Hook.dll C:\WINDOWS\R@1n-Hook.exe C:\WINDOWS\system32\SppExtComObjHook.dll C:\WINDOWS\system32\SppExtComObjPatcher.exe C:\Windows\System32\drivers\ptun0901.sys Folder: C:\Users\MSI\AppData\Local\mpress Folder: C:\Users\MSI\AppData\Roaming\Xerox CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak wygląda sprawa aktywacji systemu.

Skąd było wiadomo, że plik WVM zainfekowany oraz jakie było jego źródło? Wyniki w skanie ESET nie mają związku ze zgłaszanym problemem, w większości to są ręcznie pobrane pliki (downloadery zamiast poprawnych instalatorów, crack ESET, sponsorowany instalator uTorrent per se) oraz jeden rekord w cache Google Chrome. W raportach nie widać żadnych oznak infekcji. Do wykonania tylko działania poboczne: 1. Odinstaluj stare wersje: Adobe Flash Player 16 NPAPI, Adobe Flash Player 19 ActiveX, Java 8 Update 25. 2. Wyczyść Firefox ze starych preferencji i sponsorowanych przekierowań Yahoo: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. W Google Chrome Ustawienia > karta Rozszerzenia > odinstaluj OneTab. To rozszerzenie kojarzone z instalacjami adware: PUP.Optional.OneTab. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {B6E6980B-0ED5-4115-A9C7-649A8D4EE2F0} - System32\Tasks\{13784B23-39D4-421D-A149-5FFE95DAC8D8} => pcalua.exe -a C:\Users\Lukasz\Downloads\WinSetupFromUSB-1-4.exe -d C:\Users\Lukasz\Downloads Task: {FC464D26-D0D9-4C67-B627-9C60F8A82C8F} - System32\Tasks\{5C0120C7-B382-480B-B8C7-F643AC9EA3FD} => pcalua.exe -a D:\dziadek\Adobe.Acrobat.Pro.X.v10.0.Multilingual.Incl.Keymaker-CORE\setup.exe -d D:\dziadek\Adobe.Acrobat.Pro.X.v10.0.Multilingual.Incl.Keymaker-CORE HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" S3 btwampfl; \??\C:\Windows\system32\drivers\btwampfl.sys [X] S3 btwaudio; system32\drivers\btwaudio.sys [X] S3 btwavdt; system32\drivers\btwavdt.sys [X] S3 btwl2cap; system32\DRIVERS\btwl2cap.sys [X] S3 btwrchid; system32\DRIVERS\btwrchid.sys [X] SearchScopes: HKU\S-1-5-21-595839063-1318309793-2819938948-1000 -> {63C1A194-4CFF-4C89-A061-E7331C825C71} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=639975&p={searchTerms} CHR HKU\S-1-5-21-595839063-1318309793-2819938948-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ABBYY.Licensing.FineReader.Corporate.10.0 C:\Users\Lukasz\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\GuestUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wireshark 2 Preview.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są mi potrzebne.

Problemem jest szkodliwe proxy. Poza tym, jest tu niepoprawnie odinstalowany McAfee. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Anvi Smart Defender 2.5 (program słaby i nie można pokładać w nim duże wiary) i Java 8 Update 31. 2. Zastosuj firmowe narzędzie McAfee Consumer Product Removal Tool. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: CMD: netsh advfirewall reset CMD: type C:\Windows\System32\Tasks\updzteuudc Task: {1B16749A-BE0A-47DD-ACC1-D5D46199A274} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {347F7299-C9AA-4DE6-98C2-0ED4961AE2D7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {63F1B8DB-078E-4397-A177-2059412DAE13} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {892E9F0C-FD46-42CE-ABD1-08FB72CDFCAE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {893E5D7C-438C-40C4-811F-830C01A4254C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {97AE2CD8-1352-4D87-902C-125167EF6ED7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {A28E03CD-56B5-4920-8CEA-EFE3D71130E3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {A71E8476-FEE5-4184-B2FA-9F5D01EF1A8A} - System32\Tasks\updzteuudc => C:\WINDOWS\system32\config\systemprofile\AppData\Local\Dripcom Task: {B352A389-DCA8-43BB-BD19-368893803F87} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C1FA1237-DF7D-4D25-B9A4-2952DB50E5F6} - System32\Tasks\{41A045E6-43D8-4C16-8A45-A22E9E5C17E4} => pcalua.exe -a "C:\Program Files (x86)\Codex\unins000.exe" Task: {D7149797-D8D6-4B06-87B1-F76EB579CCDC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {EC7904AD-7307-4E26-806E-68D4F6AEA141} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {F04FA09C-4926-4585-8FCE-45F984CD3735} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: C:\WINDOWS\Tasks\0215avUpdateInfo.job => C:\ProgramData\Avg_Update_0215av\0215av_AVG-Secure-Search-Update.exe Task: C:\WINDOWS\Tasks\0415avUpdateInfo.job => C:\ProgramData\Avg_Update_0415av\0415av_AVG-Secure-Search-Update.exe Task: C:\WINDOWS\Tasks\0814avUpdateInfo.job => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe Task: C:\WINDOWS\Tasks\1114avUpdateInfo.job => C:\ProgramData\Avg_Update_1114av\1114av_AVG-Secure-Search-Update.exe Task: C:\WINDOWS\Tasks\1214avUpdateInfo.job => C:\ProgramData\Avg_Update_1214av\1214av_AVG-Secure-Search-Update.exe S3 taphss6; C:\Windows\system32\DRIVERS\taphss6.sys [42184 2014-05-17] (Anchorfree Inc.) S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1746903869-1034927394-1705615177-1002 -> {C4421CA8-A397-469A-810A-5C2DDFCC146B} URL = FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku] Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v TCrdMain /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v TosWaitSrv /f DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Unlocker RemoveDirectory: C:\Program Files\Common Files\a0yzwzjb RemoveDirectory: C:\Program Files\Common Files\nl4mx2dx RemoveDirectory: C:\Program Files\Common Files\gan15tfy RemoveDirectory: C:\Program Files\Common Files\itlsil30 RemoveDirectory: C:\Program Files\Common Files\wok2forz RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\ProgramData\AVG2015 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Gamblers RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics RemoveDirectory: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker RemoveDirectory: C:\Users\Krystian\Doctor Web C:\Users\Krystian\AppData\Local\Dalttech.dat C:\Users\Krystian\AppData\Local\Dalttech.exe.config C:\Users\Krystian\AppData\Roaming\Microsoft\*.* C:\Users\Krystian\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Krystian\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word%20(2304830131898669691\Nowy%20Dokument%20programu%20Microsoft%20Word%20(2).docx.lnk C:\Users\Krystian\Desktop\Początkowy pulpit\McAfee LiveSafe – Internet Security.lnk C:\Users\Krystian\Desktop\Początkowy pulpit\WildTangent Games App - toshiba.lnk C:\Users\Krystian\Desktop\trainery\FMRTE 15 cracked by LotsTerror\FMRTE 15\miniFMRTE.lnk C:\Windows\system32\Drivers\taphss6.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Twoja instalacja pochodzi z modyfikowanej płyty XP i nie zaktualizujesz systemu w taki sposób jak normalnego XP. Nawet jeśli uzupełnisz podstawowe instalacje SP3 i IE8, to i tak będzie brakować ogromnej ilości łat. Taki nieaktualizowany system to bomba zegarowa. Tu to w ogóle trzeba myśleć o całkowitym porzuceniu XP. W tym samym linku który podałam jest rozwinięcie tego tematu: KLIK. Z tym, że widać w raporcie, że komputer ma słabe parametry i zapewne nie spełnia warunków dla nowszego systemu. To nie ma znaczenia, że przeglądarki nie używasz, i tak jej silnik jest utylizowany przez określone programy. W linku, który podałam jest to wyraźnie zaznaczone. Być może to problem braku pakietu SP3. Obecnie wiele aplikacji nie działa na XP bez SP3.

Żadnych oznak w raportach, że problem tworzy infekcja. Sugestie: - Jeśli po zainstalowaniu nowych sterowników pojawiły się BSODy i spowolnienie systemu, to nasuwa się, iż problem tworzą te konkretne sterowniki. Wprawdzie użyłeś Przywracanie systemu, ale na XP to jest słaby mechanizm i może stan nie został odkręcony. - Był uruchamiany GMER. Upewnij się, że transfer dysku nie spadł do PIO: KLIK. - Widzę że pojawił się nowy sterownik SPTD, pomimo że w systemie w ogóle nie ma programów Alcohol i DAEMON Tools. Tak jakby został przez Ciebie omyłkowo zainstalowany podczas sprawdzania czy istnieje. Skorzystaj z SPTDinst, by się go pozbyć: KLIK. - Skoro pogorszył się także stan Avast, to spróbuj go przeinstalować. Tu i tak jest starsza wersja 10.2.2218. Bez związku z powyższym. To drobne wpisy rejestru i obiekty na dysku, które prawdopodobnie grzały miejsce od sporego czasu, bo w wynikach stare infekcje adware. Ich zakres działania minimalny i na pewno to nie jest przyczyna opisywanych objawów. Czyli tylko drobne doczyszczanie szczątków adware, pustych wpisów i skrótów: 1. Odinstaluj stare wersje: Adobe Flash Player 20 ActiveX, Java 7 Update 60, Pando Media Booster, Quake Live Mozilla Plugin. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Star Wars - The Old Republic.lnk -> D:\GTA SA\Star Wars-The Old Republic\launcher.exe (BioWare) -> hxxp://www.istartsurf.com/?type=sc&ts=1446068732&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=GOODRAMXC50_FF1A07391E9700075851 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Paragon Backup & Recovery™ 2013 Free\Paragon Backup & Recovery™.lnk -> C:\Program Files\Paragon Software\Backup and Recovery 2013 Free\program\launcher.exe (Paragon Software Group) -> hxxp://www.istartsurf.com/?type=sc&ts=1446068732&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=GOODRAMXC50_FF1A07391E9700075851 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk -> D:\GTA SA\Star Wars-The Old Republic\launcher.exe (BioWare) -> hxxp://www.istartsurf.com/?type=sc&ts=1446068732&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=GOODRAMXC50_FF1A07391E9700075851 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446068732&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=GOODRAMXC50_FF1A07391E9700075851 StartMenuInternet: chrome.exe - C:\Documents and Settings\Mafia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2025429265-343818398-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Task: C:\WINDOWS\Tasks\Install.job => C:\WINDOWS\system32\Macromed\Shockwave 10\nssstub.exeKC:\WINDOWS\system32\Macromed\Shockwave 10\nssstub.exe S2 HiPatchService; C:\Program Files\Hi-Rez Studios\HiPatchService.exe [X] S2 lwsvc_1.10.0.14; "C:\Program Files\LinkWiz_1.10.0.14\Service\lwsvc.exe" [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 GPU-Z; \??\C:\DOCUME~1\Mama\USTAWI~1\Temp\GPU-Z.sys [X] DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E104B9E4-01BA-4AAF-9957-6A525CC5451A} DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupregAdobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupregSunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupregvProt DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uininstall\istartsurf uninstall DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Reg\Clean DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\LWSVC_1.10.0.14 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\dobreprogramy DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\CHCT3316632 DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\Mozilla DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\MozillaPlugins DeleteKey: HKU\S-1-5-21-2025429265-343818398-682003330-1003\Software\PRODUCTSETUP RewmoveDirectory: C:\Documents and Settings\Administrator C:\Documents and Settings\All Users\Dane aplikacji\HirezPipeError.txt C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Dane aplikacji\5WMiniPro5 C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F37AC0D7-F99F-4ADE-B918-3E009176A282} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{E777ED4E-BE07-4365-BF57-C1CA826EE6B3} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{A26E83A1-D41F-4F04-A1CA-14C178997F80} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{856C2614-E1C0-4E29-9F09-5445BAF2686C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{856C2614-E1C0-4E29-9F09-5445BAF2686C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{663B6C99-3FC5-4B0B-AE57-5B4665C0D4A9} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{6405872C-E769-4D0E-A127-0D1F3DBBD38E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{63DB6E6F-21D1-4804-BDD7-9EE8611340AB} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{63491590-9970-4EB2-B601-1293B70C85E3} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{43D7D07C-0B82-41B2-8CAF-4DFBFCD3DF75} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3977AB78-8B53-419A-A64B-E7AF4B1513FA} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{2ED2D271-58B7-443B-BA4B-FB7A7995FEE5} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{20722B42-E9F8-40AD-AD2B-327F7F4EB38F} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{1E2F8F67-F2A3-4D58-A8E1-7230B963BD8A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{13E32A11-12DD-4AD9-87F3-4AB93527D32C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{10DEDC07-8413-4032-B21A-5B94111F05B9} C:\Documents and Settings\All Users\Menu Start\Programy\Battle.net C:\Documents and Settings\All Users\Menu Start\Programy\Fraps C:\Documents and Settings\All Users\Menu Start\Programy\Gimnazjum klasa 3 - Puls zycia C:\Documents and Settings\All Users\Menu Start\Programy\HEXelon MAX 6 C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Games for Windows Marketplace C:\Documents and Settings\All Users\Pulpit\Battle.net.lnk C:\Documents and Settings\All Users\Pulpit\Fraps.lnk C:\Documents and Settings\All Users\Pulpit\Gimnazjum klasa 3 - Puls życia.lnk C:\Documents and Settings\Mafia\Dane aplikacji\istartsurf C:\Documents and Settings\Mafia\Menu Start\Programy\InfiniteCrisis c:\documents and settings\Mafia\Pulpit\face-off-max-22576-dp.exe C:\Documents and Settings\Mafia\Pulpit\Gry\Killing Floor.lnk C:\Documents and Settings\Mafia\Pulpit\Gry\Narzędzia Taty\*Torrent.lnk C:\Documents and Settings\Mafia\Local Settings C:\Documents and Settings\Mama\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\TuneUp Utilities 2013.lnk C:\Documents and Settings\Mama\Local Settings C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\http_www.istartsurf.com_0.localstorage C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\The_Game_Creators_Ltd C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zainstaluj Internet Explorer 8. Link w przyklejonym w sekcji aktualizacji aplikacji: KLIK. 5. W systemie są dwa konta Mafia (z tego zostały dostarczone logi) oraz Mama. Na koncie Mafia zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Natomiast na Mama włącznie z Addition. Plik Shortcut nie jest mi w ogóle potrzebny już. Dołącz też plik fixlog.txt.

Wszystko pomyślnie przeprowadzone. Na koniec zastosuj DelFix. A pobrany GMER skasuj ręcznie, DelFix go nie wykryje. Nie, to nie ma w ogóle związku z drobnym hijackerem yoursites123, ani żadną inną infekcją. Rekord ten w GMER odnosi się do Usługi inteligentnego transferu (BITS) związanej z Windows Update. Oznaczanie tej usługi jako "rootkit" wygląda na fałszywy alarm GMER. Być może usługa była w stanie zawieszenia podczas skanu. Nic nie wskazuje, by był tu problem infekcji w tym obszarze. Service C:\WINDOWS\System32\qmgr.dll (*** hidden ***) [AUTO] BITS