picasso

Pliki {RecOveR}* zostały wyprodukowane przez infekcję szyfrującą dane w wariancie TeslaCrypt 4.0. Więcej na temat tej infekcji: KLIK. Jedna z dróg infekcji to niezałatane luki w Adobe Flash i widzę w Twoim logu powiązany obiekt CustomCLSID {F6BF8414-962C-40FE-90F1-B80A7E72DB9A}: KLIK. Szyfrowaniu podlegały dane na wszystkich dyskach, a ich masz sporo. Nie jestem w stanie określić stopnia zaszyfrowania dysków, ale obawiam się, że proces wykonał się w stopniu całkowitym. W tym wariancie Tesla nawet nie da się rozpoznać po nazwie, że pliki zostały zaszyfrowane, problem jest demaskowany dopiero przy ich otwieraniu. Te pliki, które zgłaszają błędy otwierania, są zaszyfrowane i nic z nimi nie da się zrobić. Odszyfrowanie danych jest awykonalne bez uiszczenia opłaty przestępcom. Jeśli nie miałeś w bezpiecznym miejscu kopii zapasowej, dane zostały utracone. W Twojej sytuacji jedyna droga to próba skorzystania z jakiegoś programu do odzyskiwania danych (uruchomionego z innego dysku niż obecnie podpięte), tylko że szanse są marne. Jedyne co w mojej gestii leży, to doczyszczenie śladów infekcji per se, czyli pustych już wpisów uruchomieniowych oraz nabitych masowo na wszystkich dyskach plików {RecOveR}*. Na dalszą metę zalecany kompleksowy format. Pod kątem doraźnego doczyszczania: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 19 NPAPI, Adobe Flash Player 20 ActiveX, Java 8 Update 73 (64-bit), Java SE Development Kit 7 Update 79 (64-bit), Java SE Development Kit 8 Update 31 (64-bit), Java SE Development Kit 8 Update 60 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1901158508-4074526197-3263088995-1001_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\wcnwiz.dll => Brak pliku HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-uccqjy] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe" HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-wkuqin] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe" HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-bmuvsu] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe" HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-bltrqu] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe" FF Extension: Collection of all the available BDA Tuning Model Tuning Space objects on this system - C:\Users\Janusz\AppData\Roaming\Mozilla\Firefox\Profiles\ljcw3rwa.default\Extensions\{D01B57A2-FBE5-9A12-1378-7E996E4B4BA6} [2016-04-02] [brak podpisu cyfrowego] CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=113480&tt=2912_2&babsrc=HP_ss&mntrId=9c3a50d8000000000000001a4d0f94dd","hxxp://istart.webssearches.com/?type=hp&ts=1420656507&from=kmp&uid=WDCXWD800JB-00JJA0_WD-WCAM91714338","hxxp://www.oursurfing.com/?type=hp&ts=1442263354&z=28be9d751cf9fb79f3937acg8zezaoeobq1c4c9o8z&from=amt&uid=WDCXWD800JB-00JJA0_WD-WCAM91714338" CHR DefaultSearchURL: Default -> hxxp://www.smarter.yt HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Task: {484A9BFA-88C1-403F-995C-AF2B23AA3E1D} - System32\Tasks\{CCBD4E4C-04C2-4412-99BC-87AC2A211535} => pcalua.exe -a N:\Gry\disk1\setup.exe -d N:\Gry\disk1 Task: {679E111F-3EA2-4116-8DAB-FE1FB94786DE} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET Smart Security 8.0\upgrade.exe [2016-04-02] (ESET) Task: {F346DF8C-4E00-4426-9A2C-D14D3803C32D} - System32\Tasks\{DEF6CEFA-7F7A-4F3F-A4D3-BCB7BB5914BD} => E:\Gry\Baldur's Gate 2\BGMain.exe S1 Capsax64Drv0; System32\Drivers\Capsax64Drv0.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 CSN5PDTS82; System32\Drivers\CSN5PDTS82.sys [X] S1 CSN5PDTS82x64; System32\Drivers\CSN5PDTS82x64.sys [X] S1 CsNdisLWF; System32\Drivers\CsNdisLWF.sys [X] S1 EIO64; system32\DRIVERS\EIO64.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes AlternateDataStreams: C:\Users\Janusz\Local Settings:init [5748438] AlternateDataStreams: C:\Users\Janusz\Ustawienia lokalne:qkJJrt7pPhX46n6UWw9n1Pgz [2920] AlternateDataStreams: C:\Users\Janusz\AppData\Local:qkJJrt7pPhX46n6UWw9n1Pgz [2920] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\Program Files\Common Files\AV\ESET Smart Security 8.0 RemoveDirectory: C:\Program Files (x86)\baidu RemoveDirectory: C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} RemoveDirectory: C:\ProgramData\Baidu RemoveDirectory: C:\ProgramData\ESET RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Isle RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cities Skylines RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HoMM3 HD RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\O22y Inc RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\rFactor RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Starcraft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin Powrót Białego Wilka RemoveDirectory: C:\Users\Janusz\AppData\Local\Microsoft\Windows\GameExplorer\{248ABB68-6A73-4369-8EC2-C7409CDF2C88} RemoveDirectory: C:\Users\Janusz\AppData\Local\Microsoft\Windows\GameExplorer\{7EA5ECA9-2125-43F5-A8AD-5C56210609CA} RemoveDirectory: C:\Users\Janusz\AppData\Local\Microsoft\Windows\GameExplorer\{AD453081-50D0-43DF-B519-88A209FF88BE} RemoveDirectory: C:\Users\Janusz\AppData\Roaming\ESET RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Gothic RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash RemoveDirectory: C:\Users\Public\Documents\Baidu C:\Users\Janusz\AppData\Local\ACCCx2_9_0_465.zip.aamdownload.aamd C:\Users\Janusz\AppData\Roaming\Adobe-Japan1-4 C:\Users\Janusz\AppData\Roaming\cyan bl 2.ADO C:\Users\Janusz\AppData\Roaming\Title_select-highlight.png C:\Users\Janusz\AppData\Roaming\YauponFilmographySelfdirector C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2e9b73709efe5cec\MATLAB R2011a.lnk C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\98de95ded41d25b0\MATLAB R2013b.lnk C:\Users\Public\Desktop\Wiedźmin Powrót Białego Wilka.lnk C:\Users\Janusz\Documents\Adobe\After Effects CS6\User Presets\(Adobe).lnk CMD: netsh advfirewall reset CMD: attrib -r -h -s C:\{RecOveR}* /s CMD: attrib -r -h -s D:\{RecOveR}* /s CMD: attrib -r -h -s E:\{RecOveR}* /s CMD: attrib -r -h -s F:\{RecOveR}* /s CMD: attrib -r -h -s G:\{RecOveR}* /s CMD: attrib -r -h -s J:\{RecOveR}* /s CMD: attrib -r -h -s N:\{RecOveR}* /s CMD: del /q /s C:\{RecOveR}* CMD: del /q /s D:\{RecOveR}* CMD: del /q /s E:\{RecOveR}* CMD: del /q /s F:\{RecOveR}* CMD: del /q /s G:\{RecOveR}* CMD: del /q /s J:\{RecOveR}* CMD: del /q /s N:\{RecOveR}* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog prawdopodobnie będzie ogromny i nie zmieści się w załączniku - w takim przypadku shostuj go na jakimś zewnętrznym serwisie i podaj link do pliku.

Wprawdzie nie ma raportu Fixlog, ale w nowych skanach FRST jest dowód, że infekcja została pomyślnie usunięta. Jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wprawdzie poprzednie zadania wykonane, ale w międzyczasie pojawiły się nowe obiekty adware (niejaki Search Manager w Google Chrome). Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR DefaultSearchURL: Default -> hxxp://srch.bar/{searchTerms} CHR DefaultSuggestURL: Default -> hxxp://srch.bar/?s={searchTerms} CHR HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bahkljhhdeciiaodlkppoonappfnheoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bahkljhhdeciiaodlkppoonappfnheoi] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://uk.search.yahoo.com/yhs/web?hspart=itm&hsimp=yhs-001&type=jmb_nrssi_16_11&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dgb%26pa%3DJoomborio%26cd%3D2XzuyEtN2Y1L1QzuzztDtCzytAyE0DtByD0DtA0Azy0A0E0CtN0D0Tzu0StCyDyEtDtN1L2XzutAtFtCzytFtAtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StA0F0BtA0E0Bzz0EtGtAtD0BzztGtByD0C0DtGtC0B0ByDtGzyyE0CtDyDyDyEtAtBzy0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEzy%26cr%3D173393200%26a%3Djmb_nrssi_16_11%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome SearchScopes: HKLM -> {73cd434e-8e1e-46b6-bb8d-7dd935140717} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=itm&hsimp=yhs-001&type=jmb_nrssi_16_11&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DJoomborio%26cd%3D2XzuyEtN2Y1L1QzuzztDtCzytAyE0DtByD0DtA0Azy0A0E0CtN0D0Tzu0StCyDyEtDtN1L2XzutAtFtCzytFtAtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StA0F0BtA0E0Bzz0EtGtAtD0BzztGtByD0C0DtGtC0B0ByDtGzyyE0CtDyDyDyEtAtBzy0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEzy%26cr%3D173393200%26a%3Djmb_nrssi_16_11%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {73cd434e-8e1e-46b6-bb8d-7dd935140717} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=itm&hsimp=yhs-001&type=jmb_nrssi_16_11&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DJoomborio%26cd%3D2XzuyEtN2Y1L1QzuzztDtCzytAyE0DtByD0DtA0Azy0A0E0CtN0D0Tzu0StCyDyEtDtN1L2XzutAtFtCzytFtAtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StA0F0BtA0E0Bzz0EtGtAtD0BzztGtByD0C0DtGtC0B0ByDtGzyyE0CtDyDyDyEtAtBzy0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEzy%26cr%3D173393200%26a%3Djmb_nrssi_16_11%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe S2 0169341459181846mcinstcleanup; C:\WINDOWS\TEMP\016934~1.EXE -cleanup -nolog [X] S2 jhi_service; "C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe" [X] C:\Program Files (x86)\Java C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Oracle C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java C:\Users\stan\.oracle_jre_usage C:\Users\stan\AppData\Roaming\dlg C:\Users\stan\AppData\Roaming\Sun C:\Users\stan\Desktop\Goodgame Empire.lnk C:\WINDOWS\951d4bd064ca6b979e1db2f42a3b5e85.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt dwa: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Search Manager, o ile nadal będzie widoczny po użyciu w/w skryptu. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), tym razem poproszę też o Addition. Dołącz też plik fixlog.txt.

1. Jeśli chodzi o DivX, uruchom Zoek. W oknie wklej: DivX Setup;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po ręcznej zmianie nazwy z *.log). 2. I brakuje głównego skanu FRST.txt. Dołącz.

Są aktywne szkodliwe usługi CloudPrinter i Holdtam, które nakładają modyfikacje, szkodliwe serwery DNS (izraelskie), zmodyfikowane skróty niektórych aplikacji i inne szczątki adware. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP i stare wersje: Amazon Assistant, AnySend, DivX Setup, Java 8 Update 77. 2. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [1067520 2016-04-04] () [brak podpisu cyfrowego] R2 Holdtam; C:\ProgramData\\Holdtam\\Holdtam.exe [1067520 2016-04-04] () [brak podpisu cyfrowego] U3 idsvc; Brak ImagePath AppInit_DLLs: C:\ProgramData\Holdtam\Nimron.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Holdtam\Cofity.dll => Brak pliku HKLM-x32\...\Run: [V0420Mon.exe] => C:\WINDOWS\V0420Mon.exe HKLM-x32\...\Run: [CTxfiHlp] => CTXFIHLP.EXE HKLM-x32\...\Run: [startCCC] => "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\...\Run: [bingSvc] => C:\Users\mcm\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-02-17] (© 2015 Microsoft Corporation) HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\...\Policies\Explorer: [] Task: {02583360-AF7A-43DF-B223-36A95511DF0C} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {099EB959-9C19-47FB-A53C-BF6F2D7CE490} - System32\Tasks\DistromaticSearchProtect-hourly => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2016-04-03] (Distromatic) Task: {09A3FC14-3C34-49F0-87F5-7A930A81E900} - System32\Tasks\{439809D6-2943-4805-9BEA-CD86198E9DF3} => C:\Users\mcm\Desktop\Nowy folder (4)\7.exe Task: {0C97CF1D-B6ED-43CF-9946-3208FD6BD6A5} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {0FB53F39-4E5D-4A6A-B59A-72AC813489F5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {10CF3CB3-96C1-4144-AE9B-365AFE3C92FE} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {173A7D53-0D9D-442C-9D81-F755CD22F868} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {194091DB-6B39-44BA-A570-797C2CCABDD7} - System32\Tasks\{3C0A3120-28AA-45F3-BEB9-A1FE1E367AD8} => C:\Users\mcm\Desktop\Super_Bros_3_Mario_Forever_v44\Super_Bros_3_Mario_Forever_v44.exe [2009-08-24] () Task: {1DF67A45-1695-45C6-A4AF-2D19A945A584} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {27B334F2-F9EC-47FC-9D38-E32825EC4CA8} - System32\Tasks\{30C00A70-6EC4-4E36-87E3-AC27B8E03B75} => C:\Users\mcm\Desktop\Super_Bros_3_Mario_Forever_v44\Super_Bros_3_Mario_Forever_v44.exe [2009-08-24] () Task: {28B6C3E6-CE7C-4A45-9F13-800D995DAC93} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {32318E8B-07F0-4A86-B952-8B76D5C03696} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {3A2E4597-0EFF-40BC-A10A-65A2BEA122A3} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {45B45203-E3A1-41E2-97E2-9C37151C3562} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {47985437-2077-4EC6-A6E6-E6CA14CF05AF} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {4C84FF85-3F09-45F8-A92A-F6C77AC6D5DE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {4CDE85F3-5AF5-4D49-82B7-A3A346F0137F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {52BDF3D3-63B3-41CD-BD88-062D63949288} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {61672D6F-6CAF-4785-B0D7-9A46971F8E19} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {669947B6-DB0F-4F18-AD2A-D3554AFA4796} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6EB568EB-4F76-4957-B6B5-F22C23DA3157} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {71241447-0BAF-461C-A2B0-2646F03D3779} - System32\Tasks\{9C0BD9AC-D858-409A-BA7E-26AA9F23456A} => C:\Users\mcm\Desktop\Super_Bros_3_Mario_Forever_v44\Super_Bros_3_Mario_Forever_v44.exe [2009-08-24] () Task: {725934DF-FC37-435E-9CB7-C5025E49ABBA} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {74CCAD7C-AA67-44E3-ABEF-13C9BFB48101} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {8A1C854A-960D-49D5-B591-E62AF1D6875E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8A4E308E-A583-4CCB-AF9B-498112696325} - System32\Tasks\{0F98AC7B-6A9A-4E1E-B3A7-0AEE82180731} => C:\Users\mcm\Desktop\Nowy folder (4)\7.exe Task: {8CEF672E-AC9B-4625-97AD-8C162869A853} - System32\Tasks\DistromaticUpdater-logon => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2016-04-03] (Distromatic) Task: {92D09E66-FC71-45F4-8AA2-AF3CE7E1BA45} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {941DD02D-F261-4002-BF1E-2107FCF918E5} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {9E014ADD-5893-47CB-81D1-576854547807} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {A0435904-9F41-4304-ADF8-578FA7B16CD4} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {A32AE0E3-E42B-4D79-9BA0-56B7FD2AE9F3} - System32\Tasks\{47883E3F-5889-4B1B-9B45-86E9AD5F5D0C} => C:\Users\mcm\Desktop\Super_Bros_3_Mario_Forever_v44\Super_Bros_3_Mario_Forever_v44.exe [2009-08-24] () Task: {A5AA89E1-A027-4195-AD69-603166BC447A} - System32\Tasks\DistromaticSearchProtect-logon => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2016-04-03] (Distromatic) Task: {C6C83A98-92CD-4348-B023-A67387110E67} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D0278C9A-15F0-4752-8F65-846997BC5460} - System32\Tasks\DistromaticUpdater-periodic => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2016-04-03] (Distromatic) Task: {DAD63D61-50F8-4514-A074-A8626A27F3D1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E10C6C76-95D5-4833-9D25-ED4FAD0B3D61} - System32\Tasks\AMD Updater => C:\Program Files\AMD\CIM\\Bin64\InstallManagerApp.exe Task: {E2B0ACC8-A4EF-431B-B8F6-7E77F862249A} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {E5AF5A54-27FA-4AA0-9330-C4F1853B408F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {E7372F2B-B1CE-41A2-8901-23C82FA29303} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {E73D1E43-6DB5-4313-A7DA-35F9F7DFEA2C} - System32\Tasks\{9F67B492-B781-47A7-8E26-42FE6F8E731D} => C:\Users\mcm\Desktop\Nowy folder (4)\7.exe Task: {E76659E6-BF67-4B60-A182-1452E458112E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E7897ED3-FBBA-4E3D-89BF-3059F2DD067B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {F5C5B404-AF7F-45AC-9616-D4C4582D365E} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {F8F10ACB-43B3-47CB-9DAD-4E304D4D5CA8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {FCE40885-E2CA-408A-839E-2AEAF5BB330E} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqYrGozg4jIXxrOtcH1gpHwwv4l3NsJdrvmWP1HDmacmcLRJqOGxtZ0FhOLYa-SLdxKzpsChO4Ii64g_7MpIOTdKJB0Oum HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} HKU\S-1-5-21-2182520945-4177100033-1416620387-1002\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} SearchScopes: HKU\S-1-5-21-2182520945-4177100033-1416620387-1002 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} SearchScopes: HKU\S-1-5-21-2182520945-4177100033-1416620387-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-2182520945-4177100033-1416620387-1002 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptVFDTPaLAPHimnpsI3BAvY_ZzuqPE3EaKb9R02g2jbYEW06vGPh6TSTRx5dxPJecqbum3nCo7jmOCGZtWSvJnmyzX-k0SJiPPzttNWLP5P8D6LbdmH7YbO7tE2gPEVrh0ikQc39q6iuf2-EsmGN-BZfFTz6eE&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\mcm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk -> C:\Program Files (x86)\WarThunder\launcher.exe (Gaijin Entertainment) -> "hxxp://trustedsurf.com/?ssid=1459791075&a=1046500&src=sh&uuid=96b22a27-d781-4dbf-9898-13ffff1918c9" ShortcutWithArgument: C:\Users\mcm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1459791075&a=1046500&src=sh&uuid=96b22a27-d781-4dbf-9898-13ffff1918c9" ShortcutWithArgument: C:\Users\mcm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\WarThunder.lnk -> C:\Program Files (x86)\WarThunder\launcher.exe (Gaijin Entertainment) -> "hxxp://trustedsurf.com/?ssid=1459791075&a=1046500&src=sh&uuid=96b22a27-d781-4dbf-9898-13ffff1918c9" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\1F00D960-1459791190-0100-963E-20CF3039C9E7 C:\ProgramData\9b250fd3-0027-0 C:\ProgramData\9b250fd3-7067-1 C:\ProgramData\CloudPrinter C:\ProgramData\HitmanPro C:\ProgramData\Holdtam C:\ProgramData\Holdtams C:\ProgramData\TEMP C:\Users\mcm\AppData\Local\Microsoft\BingSvc C:\Users\mcm\AppData\Roaming\*.* C:\Users\mcm\AppData\Roaming\ASPackage C:\Users\mcm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage C:\Users\mcm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CNext.lnk C:\Windows\isRS-000.tmp C:\Windows\ehome C:\Windows\system32\Drivers\09171449.sys C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\Windows\SysWOW64\findit.xml RemoveDirectory: C:\Users\mcm\Desktop\Stare dane programu Firefox Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v vmware-tray.exe /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Akcje pomyślnie wykonane, ale pojawiły się nowe obiekty adware (polityki Google Chrome). Poprawki: 1. Otwórz Notatnik i wklej w nim: GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction BHO-x32: Wander Burst -> {0f4e02f8-f10e-493d-a1a7-3aed7ba7b110} -> C:\Program Files (x86)\Wander Burst\Extensions\0f4e02f8-f10e-493d-a1a7-3aed7ba7b110.dll => No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien zostać wywołany restart. Jeśli nie, zainicjuj go ręcznie. Przedstaw wynikowy log fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

To nie są oryginalne zapisane przez FRST na dysku logi, tylko zniekształcone wersje. Zrobiłeś nowe pliki w złym kodowaniu ANSI (oryginały są w UTF-8). Na temat pobierania z dobrychprogramów: KLIK. W raportach widać jedynie ślady adware w preferencjach Firefox. Działania do przeprowadzenia: 1. Odinstaluj starą wersję Java 8 Update 66 (64-bit). 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {9D34A7C4-3C4B-4BE7-88BF-504AE203BB3B} - System32\Tasks\{9D69DE85-2B21-4999-8F2E-B282586996C6} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?page=tsMain DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-21-752980834-4026949763-570849984-1002\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\ProgramData\APN RemoveDirectory: C:\Users\G580\Doctor Web RemoveDirectory: C:\Users\G580\AppData\Local\Google RemoveDirectory: C:\Users\G580\AppData\Roaming\IHlpr RemoveDirectory: C:\Users\G580\AppData\Roaming\WarThunder C:\Users\G580\AppData\Roaming\*.* C:\Users\G580\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\G580\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7111c0ce965b7246\Battle.net.lnk C:\Users\G580\AppData\Roaming\Skype\My Skype Received Files\Arrivatrainswales_ Train tickets, travel information, train times and train timetables.pdf.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Proszę na wszelki wypadek dodaj nowe raporty z FRST. Aktualizacja Windows 7 do Windows 10 zachowuje wiele danych (np. profile przeglądarek).

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe raporty: KLIK.

Dlatego w instrukcji tworzenia raportu jest wyraźnie napisane, by zawartość przekopiować do Notatnika i ręcznie zapisać plik, a nie używać bezpośredniego przycisku zapisu raportu. Problemem jest infekcja serwerów DNS. Wszędzie ustawione izraelskie serwery: KLIK. Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2dab2063-87ab-445d-b08a-53fbc60ee0f5}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2dab2063-87ab-445d-b08a-53fbc60ee0f5}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{4b31ff13-63c6-4296-8b18-f6417aa595aa}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{4b31ff13-63c6-4296-8b18-f6417aa595aa}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{91065409-b268-4577-a4cd-6eb2e6d0736f}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{e325ae77-ebc4-43ee-87e1-9f3599775999}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{e325ae77-ebc4-43ee-87e1-9f3599775999}: [DhcpNameServer] 82.163.143.171 Ten efekt z kolei wynika z wprowadzonej przez adware polityki ograniczeń. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2dab2063-87ab-445d-b08a-53fbc60ee0f5}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2dab2063-87ab-445d-b08a-53fbc60ee0f5}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{4b31ff13-63c6-4296-8b18-f6417aa595aa}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{4b31ff13-63c6-4296-8b18-f6417aa595aa}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{91065409-b268-4577-a4cd-6eb2e6d0736f}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{e325ae77-ebc4-43ee-87e1-9f3599775999}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{e325ae77-ebc4-43ee-87e1-9f3599775999}: [DhcpNameServer] 82.163.143.171 GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3208777371-2295436043-2049818682-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://g.msn.com/1me10IE11PLPL/MCM_WCP SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Task: {010CE5DE-B1A0-49CE-98F5-B85B9F498E78} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {021C275C-AD29-412B-B552-B83A27E1C75B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {05F6D1E1-4D3C-45EB-A9D2-2512457ACA64} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {060117F8-9B84-4AD9-9F40-FCADCCFD064C} - \Drv Update -> Brak pliku Task: {0A43D1AC-91EF-4425-BFEA-0F9E9376A1F0} - \9A5A8340-6B15 -> Brak pliku Task: {0DF9CCC1-A840-492E-ADAF-DA34CD1F4009} - System32\Tasks\{2863E7B3-6DCD-4B03-AAEF-33E8E0748646} => Chrome.exe Task: {13267BFA-EDD7-4BAA-92E1-708881FDE3E7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {135E1C4E-E204-4EF1-88D6-EA3D418F5F34} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {25612A88-1855-4B1E-8086-AEF9F14DD506} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {29FA0FB2-98DB-4058-8E63-14D4F86777FD} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {2D776525-AC45-41EA-A909-CB0FF72FD7EA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2DDAD9A6-F92F-4F26-88A7-A4BEC254DAC5} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {307D334C-3618-46D7-B09B-8FF96BDCF206} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {329DAA53-CA0F-4277-9BFF-BE848E2575B0} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {32E9119F-944F-4E51-AA82-52676E9DC4AC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3798CB83-C59B-43D1-B538-C3A894D38B59} - \WordFly Auto Updater 1.10.0.25 Pending Update -> Brak pliku Task: {3900F802-B485-46C3-BC0B-2839F65F5792} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {3F8E3A52-0D65-4CB8-BBFA-10C8EC9D81FE} - \WordFly Auto Updater 1.10.0.25 Core -> Brak pliku Task: {43179979-0524-47CD-AB9D-D3947720035E} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {47099F6B-5B27-4685-AA56-79FBE70DB967} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {4C31788B-E515-4C22-A2E7-0366FC431792} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {55C72721-C52C-48B5-A374-5E45E769DAC6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {621BD708-F7AC-45E8-BA94-0747198631B5} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {6602E904-13A2-44C3-A7CA-E60B077EB440} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {67D2FD7D-6965-414E-8994-3A64F40DD305} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {9090C778-892F-4330-BEE0-224F42697EAD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {9179C9ED-F545-40F1-96D6-598FD9AA4331} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {94CEB0E4-084A-43F0-843A-4BF69EF4D48D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {9A794AD6-701F-4575-AC15-93CE3F2BD6E2} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {9CD66D61-8A2D-4A6A-9C16-4030DE079C2A} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {A4DDA547-7C43-466C-AF94-DD18E2F5CDA9} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {B8B31D4A-6BB3-433B-B277-69D20C01F03C} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {C19945B7-29B6-4176-9480-88FD9425D782} - \Virt-Device -> Brak pliku Task: {C36F90F2-D4DE-4610-A5C3-4B2639EA64FB} - \Newsfeed -> Brak pliku Task: {C37459DE-70F2-44B4-8562-DC138857EA83} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {CB256AD8-F4FC-4E87-80B8-8ACD5B8981DB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {CBB4F18C-CD2B-4976-975C-834C37E2F397} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {D0DF92AD-26BD-4580-8714-A76B970F976D} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {DA8FB597-849F-463C-A274-AD2851880F1F} - \Mistl -> Brak pliku Task: {E2686CB4-B21F-4D9C-80EB-568BC09515CE} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {E8011C3E-6ADB-4659-9690-921E83A4E6E2} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {FAD0CE03-2709-4F0D-9E91-936A42775C44} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe U3 idsvc; Brak ImagePath S3 ohci1394; \SystemRoot\System32\drivers\ohci1394.sys [X] U3 wpcsvc; Brak ImagePath DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\$360Section RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\360Quarant RemoveDirectory: C:\ProgramData\287f60bb-1697-0 RemoveDirectory: C:\ProgramData\287f60bb-4cb3-1 RemoveDirectory: C:\ProgramData\simplitec RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audytor 3 Demo RemoveDirectory: C:\Users\user\AppData\Local\ESET RemoveDirectory: C:\Users\user\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\user\AppData\Roaming\Mozilla\Firefox RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. Zresetuj system. 3. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > usuń dwa nieużywane profile, zostaw tylko bieżący. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Brak jakichkolwiek oznak infekcji. Temat przenoszę do działu Hardware na diagnostykę. Dostarcz dane wymagane działem: KLIK. Do wglądu ten temat: KLIK. To proces systemowy i jego obecność jest normalna. Posiadasz też programy (np. Corel), które rejestrują różne rozszerzenia powłoki w eksploratorze Windows. Jest w niektórych przypadkach kojarzony z infekcją, gdyż są takie odmiany malware, które używają klas tego procesu powodując multiplikację dllhost w menedżerze. Tu na pewno nie ma problemu takiej infekcji.

Ten komunikat może być pochodną innego zainfekowanego komputera zlokalizowanego w Twojej sieci. W raportach widać wprawdzie pewne ślady po infekcji (ustawiony Debugger), ale wyglądają one na nieaktywne. Czyli do wdrożenia tylko drobne czyszczenie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe BootExecute: autocheck autochk * sdnclean64.exe Task: {0C8E6933-ECFE-44A4-8870-06CC05EBB6ED} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {157D28B0-3229-43A5-9EC4-B8BED0B2F75E} - System32\Tasks\{DE26C488-2ADA-417D-8BC3-767A39608A03} => pcalua.exe -a "E:\Pobrane\AG3DB Public Release\AG3DBC\bin\Release\AG3DBC.exe" -d "E:\Pobrane\AG3DB Public Release\AG3DBC\bin\Release" Task: {157DCE99-91A4-4231-B289-8CCF3E7B698E} - System32\Tasks\{F792CBFE-675A-4C12-8250-9841D1808C83} => pcalua.exe -a C:\Windows\AppPatch\AppLoc.exe -d E:\Gry\Banished\EDIT\CM3D2EditTrial -c "E:\Gry\Banished\EDIT\CM3D2EditTrial\uninst.exe" "/L0411" Task: {2BF11BE6-1E5C-47C7-9C59-3328376B9EFE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2C850EEC-9D48-4ACA-9C78-E8535038B098} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {314C3EC0-7761-448B-B05A-99E8B2BA57A7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {34956357-672F-46E3-82C9-BEBAC4B81B75} - System32\Tasks\{2288573C-C73A-4C1B-B168-102951861E04} => pcalua.exe -a F:\redist\gfwlivesetup.exe -d F:\redist Task: {3DE4959F-FFD2-4122-95EE-7D3D74E104F1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {485E1CF2-07BB-4336-AFF5-18ABC8F4ACFE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {4E724EFD-8FA1-402F-88B0-967DECFF14F5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5375776B-F652-4FB2-9DF6-14CBD28BA067} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {9C61412D-E6DD-44EE-BF2B-248079402E1B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B23CF1CB-BF53-4744-9779-9290563A700F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {B7C01277-8E47-4FB0-95A8-EFFF48B29FE3} - System32\Tasks\{EB21521C-4200-4A39-BEFB-D792B7061637} => pcalua.exe -a "C:\Users\Bajan\Downloads\Silent Hill 3 PL\Silent Hill 3 PL.exe" -d "C:\Users\Bajan\Downloads\Silent Hill 3 PL" Task: {C3AB4EEB-0F61-414A-BCB3-044321F70CD5} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {ED7D81DA-5180-4C42-96D9-CFC4A6F38682} - System32\Tasks\AsusVibeSchedule => C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe Task: {F7968903-2F03-48C3-A6F6-94E88A08AD58} - System32\Tasks\{8DAA0089-5EDF-4122-993E-5CFD439D0B6A} => pcalua.exe -a "E:\Pobrane\Silent Hill 3\directx8.1b\dxsetup.exe" -d "E:\Pobrane\Silent Hill 3\directx8.1b" Task: {FED447C7-F5F8-4332-A3BF-5D540942F3FA} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKU\S-1-5-21-3747112732-852065818-843328708-1001\...\MountPoints2: F - "F:\setup\rsrc\Autorun.exe" CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M191AFA8C-386D-4C06-AF7A-6C8DA97E394D&SearchSource=55&CUI=&UM=8&UP=SP1FAD61C9-73BA-4AE4-946C-A11F550D6A54&SSPV=SP2201TB_sp_ch&SSPV=SP2201TB_sp_ch SearchScopes: HKU\S-1-5-21-3747112732-852065818-843328708-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3747112732-852065818-843328708-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin HKU\S-1-5-21-3747112732-852065818-843328708-1001: ubisoft.com/uplaypc -> E:\Gry\Settlers\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [brak pliku] C:\ProgramData\Temp C:\ProgramData\Spybot - Search & Destroy C:\WINDOWS\SysWOW64\zlib.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem jest złożony. Są tu dwa typy infekcji: programy adware i szkodliwe zadania w Harmonogramie (m.in. wywołujące jakąś komendę PowerShell) oraz modyfikacja serwerów DNS na poziomie routera i na poziomie Windows. Wszędzie ustawione izraelskie serwery: KLIK. Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{748514DC-E955-4044-B0F5-42DC469CF715}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{E3F40742-A55E-4A7D-ADBF-B43015DE7D4D}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{E3F40742-A55E-4A7D-ADBF-B43015DE7D4D}: [DhcpNameServer] 82.163.143.171 Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Panel sterowania > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Przez Dodaj/Usuń programy odinstaluj adware eShield Browser Security, UpdateAdmin. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: G:\WINDOWS\Tasks\{01ED11CC-E6D2-7E7D-9FE5-CA893C318F6E}.job => G:\WINDOWS\system32\regsvr32.exeE /s /n /i:/rt G:\DOCUME~1\ALLUSE~1\DANEAP~1\23400041\9942d3b.dll <==== UWAGA Task: G:\WINDOWS\Tasks\{0D780C47-7D7A-0D78-7E11-090B0B791109}.job => powershell exe HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&i= HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&i=" <======= UWAGA SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> DefaultScope {D92D7B3A-0652-4C14-83DF-A2FAC6F5ED86} URL = hxxp://search.eshield.com/serp?guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> {94EE9434-973C-439B-97C8-AB9E98B3DCE1} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433 SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> {D92D7B3A-0652-4C14-83DF-A2FAC6F5ED86} URL = hxxp://search.eshield.com/serp?guid={3D7E5B06-BE35-4AB7-B0E8-FEDB431AEE6C}&action=default_search&k={searchTerms} DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/products/plugin/autodl/jinstall-170-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0051-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-170-windows-i586.cab ManualProxies: DeleteKey: HKLM\SOFTWARE\Google\Chrome G:\Documents and Settings\All Users\Dane aplikacji\{09f200ae-012c-1} G:\Documents and Settings\All Users\Dane aplikacji\{008c2af4-212c-0} G:\Documents and Settings\All Users\Dane aplikacji\23400041 G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-18e7-0 G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-23a7-0 G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-38b1-1 G:\Documents and Settings\All Users\Dane aplikacji\7db22c9a-4831-1 G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-2131-0 G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-2601-0 G:\Documents and Settings\Pc\Pulpit\Continue Pazera Free Audio Extractor installation.lnk G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\TNT2 G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\UpdateAdmin G:\Program Files\TNT2 CMD: ipconfig /flushdns CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Podaj też model routera. Potwierdź ustąpienie problemu.

Infekcja pomyślnie usunięta. Natomiast oporne Pokki zostanie usunięte po prostu z rejestru. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki_Start_Menu RemoveDirectory: C:\ProgramData\NortonInstaller Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Problemem są liczne zadania w Harmonogramie zadań, efekt reklam byłby widoczny na dowolnej przeglądarce. Przypuszczalnie PriceFountain zostało nabyte podczas pobierania np. z dobrychprogramów: KLIK. Działania do przeprowadzenia: 1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player ActiveX, Adobe Reader 8.1.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1A2234AC-74E4-4952-A796-7E16BD89A3F3} - System32\Tasks\{98C53A92-90DC-4BA6-B878-0D80303C7583} => pcalua.exe -a "C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" -c REMOVE=TRUE MODIFY=FALSE Task: {2BB207CA-DED5-4590-865B-834B3237983F} - System32\Tasks\DestituteTummyV2 => Rundll32.exe LoomingChaise.dll,main 7 1 Task: {784705EA-8D5C-472D-B096-E3E934005F04} - System32\Tasks\GagaStandoutsV2 => Rundll32.exe AssiduouslyPucks.dll,main 7 1 Task: {B688AAC7-F85E-48CD-87B5-E2F91186665C} - System32\Tasks\HousecleanRelapsersV2 => Rundll32.exe SavagingClinically.dll,main 7 1 Task: {FAF73390-B6D8-42D5-B16F-4D338FF33697} - System32\Tasks\LoggingsBillboardV2 => Rundll32.exe NoninstinctiveHandicap.dll,main 7 1 S3 EverestDriver; \??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt [X] S4 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKLM -> DefaultScope {66270EEA-BD35-4515-B0AD-721E24B9D86C} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {66270EEA-BD35-4515-B0AD-721E24B9D86C} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1803608392-3090673129-158451474-1002 -> DefaultScope {66270EEA-BD35-4515-B0AD-721E24B9D86C} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1803608392-3090673129-158451474-1002 -> {66270EEA-BD35-4515-B0AD-721E24B9D86C} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 Toolbar: HKU\S-1-5-21-1803608392-3090673129-158451474-1002 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1449337453&z=62e1c74e0f82870d807c751g6z4z2t4c5c7mfzbw1m&from=cor&uid=HitachiXHTS541616J9SA00_SB24A1GJGYE90SGYE90SX CHR HKLM\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1803608392-3090673129-158451474-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\Pawel\AppData\Local\DestituteTummy RemoveDirectory: C:\Users\Pawel\AppData\Local\GagaStandouts RemoveDirectory: C:\Users\Pawel\AppData\Local\HousecleanRelapsers RemoveDirectory: C:\Users\Pawel\AppData\Local\LoggingsBillboard RemoveDirectory: C:\Users\Pawel\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Pawel\AppData\Local\Mozilla RemoveDirectory: C:\Users\Pawel\AppData\Roaming\Mozilla RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\GUT2E77.tmp C:\Users\Pawel\Downloads\sh-remover.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

W Firefox jest szkodliwe rozszerzenie GsearchFinder, które przywraca modyfikacje preferencji. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {070D2592-F020-42EE-8374-0D871E2F3BBF} - System32\Tasks\0215tb_RML => C:\Program Files\AVG Web TuneUp\AVG-Secure-Search-Update_0215tb.exe Task: {47C75497-F6FA-4C89-9B56-9574575CA9FC} - System32\Tasks\{065EDE78-F15E-48B8-88B6-81F6D50B6134} => pcalua.exe -a F:\setup.exe -d F:\ -c -el -s2 "-dC:\Program Files\USB Vibration\7906\setup" "-p" "-sp" Task: {5F1337DF-22B4-451E-9A57-B97B35C50104} - System32\Tasks\{554FA88E-BEE4-4FA8-8922-AD497EE2A5AD} => pcalua.exe -a I:\download\Realtime_Audio_Effects_v.1.08\V108.exe -d I:\download\Realtime_Audio_Effects_v.1.08 Task: {689A993C-465D-4A79-96FC-FD34CD453723} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {718D529A-4DE9-4B11-AAC7-A07ED5EE430E} - System32\Tasks\{00C87106-B09D-4B0D-9094-EFE94D55A3E2} => D:\Program Files\Shai Raiten\Bluetooth Radar\Blue Radar.exe Task: {93A63725-46E6-48F2-AE34-2968239181A8} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {B6539625-8C62-4166-859A-7E5C265D2EC3} - System32\Tasks\{4107DA9D-7BBB-4FD6-9E1F-CA7FFEC327E6} => pcalua.exe -a "I:\Games\KotF Jedi Academy Expansion Pack\Menus\flashactivexinstaller.exe" -d "I:\Games\KotF Jedi Academy Expansion Pack\Menus" Task: C:\Windows\Tasks\0215tb_RML.job => C:\Program Files\AVG Web TuneUp\AVG-Secure-Search-Update_0215tb.exe HKU\S-1-5-21-3561182577-639801756-3185389835-500\...\Run: [NextLive] => C:\Windows\system32\rundll32.exe "C:\Users\Administrator\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKU\S-1-5-21-3561182577-639801756-3185389835-1004\...\Winlogon: [shell] C:\Windows\eHome\McrMgr.exe [313344 2009-07-14] (Microsoft Corporation) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3561182577-639801756-3185389835-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5EPL&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EPL&apn_dbr=ie_11.0.9600.17496&apn_uid=D3811133-D362-4BD3-B112-ABC0F68B873F&itbv=12.21.0.114&doi=2014-12-19&psv=&pt=tb SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3561182577-639801756-3185389835-500 -> {3F763D04-7961-400F-9246-EAA23CA714F5} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.21.0.114&apn_uid=D3811133-D362-4BD3-B112-ABC0F68B873F&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17496&doi=2014-12-19&trgb=IE&q={searchTerms}&psv=&pt=tb FF HKLM\...\Firefox\Extensions: [isend@www.bluesoleil.com] - d:\Program Files\New Folder\IVT Corporation\BlueSoleil\TransSend\FireFox\isend@www.bluesoleil.com FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-02-09] DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Google C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Knights of the Force C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LucasArts C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin 2 C:\Users\Administrator\Desktop\Play Star Wars Jedi Knight Jedi Academy.lnk C:\Users\Administrator\Links\Desktop.lnk C:\Users\Administrator\AppData\Local\Microsoft\Windows\GameExplorer\{8C325FDD-CF43-49D9-9BCA-03949917A80A} C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Majkel\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Majkel\AppData\Local\nsqFC0D.tmp C:\Users\Majkel\AppData\Local\Google C:\Users\Majkel\AppData\Local\Microsoft\Windows\GameExplorer\{50163A98-7A83-4188-9C91-00913ECB99E9} C:\Users\Majkel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\Users\Majkel\Downloads\Desktop\Counter-Strike 1.6.lnk C:\Users\Majkel\Downloads\Desktop\Play Star Wars Jedi Knight Jedi Academy.lnk C:\Users\Public\Desktop\Tony Hawk's Underground 2.lnk C:\Windows\0 C:\Windows\System32\0 C:\Windows\System32\Tasks\Lenovo Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale wszystkie rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Google Update Helper, Metric Collection SDK > Dalej. Dwa wpisy, więc narzędzie należy uruchomić dwa razy. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Majkel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie per se widoczne drobne odpadki adware. Natomiast infekcja Gamarue jest tylko na urządzeniu. Infekcja utworzyła folder "bez nazwy" (znak ASCI), do którego przesunęła wszystkie dane. Folder został ukryty za pomocą atrybutów HS (ukryty systemowy), czyli jest widoczny po odznaczeniu w opcjach folderów Ukryj chronione pliki systemu operacyjnego. Naprawa będzie polegać na zdjęciu atrybutów HS i ręcznym przekopiowaniu danych. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin-x32: @videolan.org/vlc,version=2.0.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\0wsq8knk.default\extensions\fftoolbar2014@etech.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\0wsq8knk.default\extensions\quick_searchff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\0wsq8knk.default\extensions\sweetsearch@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-544182260-2193072089-3567993724-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849302545963512&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849302545983514&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421618779&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421618779&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKU\S-1-5-21-544182260-2193072089-3567993724-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1432152437&z=b849ed68b350184ff39f59bg5zbc8oag9w1o1z5zbe&from=wpm05203&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku BHO-x32: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Task: {17EB63DA-27F9-4D14-B585-3478C7EDA1C1} - System32\Tasks\{C1DC5E42-4922-4F51-9AAF-914B0543325D} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\irfanview_plugins_440_setup.exe -d C:\Users\HP\Desktop\POBRANE Task: {20A4FDF9-D3FA-4153-A700-CCD52B4EEEAF} - System32\Tasks\{8952C0CC-09C9-48D0-B75C-DC9D5D200DE5} => pcalua.exe -a C:\Users\HP\Desktop\sp52145.exe -d C:\Users\HP\Desktop Task: {38DB2182-F7D1-47C5-AAC6-0C5641A22234} - System32\Tasks\{6C7ABBAB-6821-428E-A0F5-902E28F43E29} => pcalua.exe -a C:\Users\HP\Desktop\Uaktualnienie2000e.exe -d C:\Users\HP\Desktop Task: {45585F4D-C220-455C-BD55-4FFEE407B84B} - System32\Tasks\{E766F266-A8BB-468D-9D2E-254CB0A47B0B} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\irfanview_plugins_440_setup.exe -d C:\Users\HP\Desktop\POBRANE Task: {489EB306-4FD3-4DEE-8569-D0290C13EFB8} - System32\Tasks\{FC8A6F19-CA17-4F7A-B871-862C685776E3} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\irfanview_lang_polski.exe -d C:\Users\HP\Desktop\POBRANE Task: {4AD39E4C-52E1-42F3-9305-64C3BEE305FB} - System32\Tasks\{5C38FBAC-CB4B-499F-B39F-2A54E52B7E9B} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {7B10828B-14AE-4CBD-85C0-3D5CEE083393} - System32\Tasks\{5EAFDCC8-E6F0-4B3A-8726-6E5B4CFBA090} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\USMoneyDlxSunset.exe -d C:\Users\HP\Desktop\POBRANE Task: {87F3797B-FB14-49AD-AE94-D48169594B6B} - System32\Tasks\{AF747099-D52A-4578-A743-B639BF87DD31} => pcalua.exe -a C:\Users\HP\Desktop\sp52143.exe -d C:\Users\HP\Desktop Task: {8C0DCD49-DF5A-414F-AB2A-C9C79AE5853F} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {D7E2C4A0-45CB-4BB7-BA66-E4E1F54E32C1} - System32\Tasks\{D30D9DAC-0A19-4453-8EE6-6F1F4EDFF428} => pcalua.exe -a C:\Users\HP\AppData\Local\Temp\Shortcut_SweetIMSetup.exe -d C:\Users\HP\Desktop -c -Shortcut Task: {DFF81848-46F0-4BFC-B97A-9D7F32B97A59} - System32\Tasks\ScanSoft Background Update => C:\Program Files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-544182260-2193072089-3567993724-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Spacekace RemoveDirectory: C:\Program Files (x86)\ESET RemoveDirectory: F:\System Volume Information CMD: attrib /d /s -s -h F:\* CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\HP\AppData\Local\{*}) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Zakładam, że urządzenie jest zmapowane pod literą F:, w przeciwnym wypadku w linii CMD: attrib /d /s -s -h F:\* zmień literę na bieżącą. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. 2. Jeśli powyższy skrypt wykona się poprawnie, na urządzeniu zostanie odkryty folder "bez nazwy". Wejdź do niego i przenieś wszystkie dane poziom wyżej. Następnie folder przez SHIFT+DEL (omija Kosz) skasuj.

Temat przenoszę do działu Windows. Nic tu nie wskazuje, by problemem była infekcja. W systemie tylko drobne nieaktywne odpadki adware, zupełnie bez związku. W spoilerze szybkie doczyszczanie mini śmieci i pustych wpisów. Operacja nie wpłynie na zgłoszone błędy. 1. W jaki sposób aktywność dysku została zdiagnozowana? Czy jesteś pewien, że nie ma tu nic do rzeczy Cobian Backup? I odinstaluj AVG Web TuneUp. 2. Jeśli chodzi o problem z błędną detekcją platformy, to prawdopodobnie jest to konsekwencja manipulacji z aktywacją Windows. To jest definitywnie scrackowany Windows. "Windows 7 Activator" na dysku, zmodyfikowane pliki systemowe User32.dll oraz w Dzienniku zdarzeń charakterystyczne błędy: 2016-03-07 11:47 - 2015-09-15 21:51 - 00000000 ____D C:\Program Files (x86)\Windows 7 Activator C:\Windows\system32\User32.dll [2010-11-21 04:24] - [2015-11-25 12:36] - 1008640 ____A (Microsoft Corporation) 2C353B6CE0C8D03225CAA2AF33B68D79 C:\Windows\SysWOW64\User32.dll [2010-11-21 04:24] - [2015-11-25 12:36] - 0833024 ____A (Microsoft Corporation) 861C4346F9281DC0380DE72C8D55D6BE Dziennik Aplikacja: ================== Error: (03/08/2016 05:46:29 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. Error: (03/08/2016 05:03:23 PM) (Source: Software Protection Platform Service) (EventID: 8193) (User: ) Description: Wystąpił błąd harmonogramu aktywacji licencji (sppuinotify.dll), kod błędu: 0x80070005 Dziennik System: ============= Error: (03/08/2016 10:03:23 AM) (Source: DCOM) (EventID: 10001) (User: ) Description: C:\Windows\System32\slui.exe -Embedding5{F87B28F1-DA9A-4F35-8EC0-800EFCF26B83} W związku z tym proponuję rozpocząć od zdjęcia cracka.

Brak jakichkolwiek oznak infekcji. Temat przenoszę do zasadniczego działu Windows. Z raportów nic nie wynika, żadnych wyraźnych oznak usterki czy konkretnego tropu. Proponuję zacząć od podstawowego kroku w takich przypadkach czyli sprawdzenia interferencji procesów: 1. Testowa deinstalacja ESET Smart Security. Oprogramowanie zabezpieczające jest bardzo rozbudowane (duża ilość usług / sterowników). 2. W przypadku braku rezultatów dodatkowy test z czystym rozruchem: KLIK.

Zewnętrzne skanowanie portów wykrywane w BitDefender nie świadczy o infekcji i nic w tej kwestii nie można zrobić, w rozumieniu trwałego wyeliminowania zjawiska. W niektórych konfiguracjach sieciowych nawet taka detekcja może być fałszywym alarmem (określone czynności związane z komunikacją z dostawcą sieci nieprawidłowo oceniane jako "skan portów"). Duża ilość wyników w GMER również nie jest decydującym czynnikiem w ocenie, w GMER pojawia sę dużo rekordów m.in. od programów typu antywirusy (są to inwazyjne aplikacje). Dla porównania możesz sprawdzić skan GMER wykonany z poziomu trybu awaryjnego Windows, wyników powinno być mniej. W raportach nie widzę żadnych jawnych oznak infekcji. Możesz doczyścić tylko drobne śmieci (puste wpisy, szczątki po aktualizacji ze starszego systemu do Windows 10). Czyli drobny skrypt do FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {00419279-088A-415A-8561-49D4CC5CF7B2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2B0A6565-DFE8-4DCC-9C42-CFC1EEAF8499} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {572BA531-4A31-4748-8486-6659107E6400} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {59F86726-923D-4577-840E-5D1AE38D4683} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {64EED63C-C9F4-4234-9B6B-4848D72DE15C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {8F44135B-AEC5-4E7F-8266-325704FD5E5B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {926A489F-13E1-4EEB-8BA9-549E3F251856} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F3A50D46-20F5-493E-839C-54F9C6B3089C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F7180DAB-9465-4A83-A117-9E2E23D80130} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-1766789467-2198004704-2712244009-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = BHO-x32: Brak nazwy -> {D2C5E510-BE6D-42CC-9F61-E4F939078474} -> Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\ProgramData\TEMP C:\Users\Barek\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ASRockXTU /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v EzPrint /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v EzPrint /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. No skany FRST nie są mi potrzebne.

Brakuje nowych skanów FRST:

W systemie widać infekcję DNS (zmodyfikowany plik systemowy dnsapi.dll + modyfikacja serwerów DNS), różne elementy adware oraz niepoprawnie odinstalowany BitDefender. Był używany ComboFix i na ten temat: KLIK. Akcja do przeprowadzenia: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Deinstalacje: - Zastosuj BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze). - Odinstaluj via Panel sterowania zbędny program Badanie mające na celu poprawę produktów HP Deskjet 3540 series oraz pozostałości po instalacji AVG Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {6AEFB9E6-86DE-496D-9713-4B3817A0A3A0} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () Task: {8F863AE4-097A-4AE6-9291-FB9DB5455615} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\C1ECEBEC0D9B503C749E73176F28F171\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {E51E792B-8256-4670-A1BF-E4D3C17C8CD2} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe S2 ggbugreport; C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe [1592888 2016-03-15] () U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 btwampfl; \??\C:\Windows\system32\drivers\btwampfl.sys [X] S3 btwaudio; system32\drivers\btwaudio.sys [X] S3 btwavdt; \SystemRoot\system32\drivers\btwavdt.sys [X] S3 btwl2cap; system32\DRIVERS\btwl2cap.sys [X] S3 btwrchid; \SystemRoot\system32\drivers\btwrchid.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S3 rtsuvc; system32\DRIVERS\rtsuvc.sys [X] HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4123134607-749068009-789625685-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4123134607-749068009-789625685-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKLM-x32 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightGate DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\Program Files\SpaceSoundPro RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\Avira RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\MPC Cleaner RemoveDirectory: C:\Program Files (x86)\osTip RemoveDirectory: C:\Program Files (x86)\QQBrowser RemoveDirectory: C:\Program Files (x86)\SearchesToYesbnd RemoveDirectory: C:\Program Files (x86)\Tencent RemoveDirectory: C:\Program Files (x86)\Winsere RemoveDirectory: C:\Program Files (x86)\WinTaske RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Tencent RemoveDirectory: C:\ProgramData\Thunder Network RemoveDirectory: C:\ProgramData\WindowsMsg RemoveDirectory: C:\Users\lenovo\.oracle_jre_usage RemoveDirectory: C:\Users\lenovo\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 RemoveDirectory: C:\Users\lenovo\AppData\Local\65F7C70F-1458138397-B0D8-676B-047D7BFF6525 RemoveDirectory: C:\Users\lenovo\AppData\Local\app RemoveDirectory: C:\Users\lenovo\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\lenovo\AppData\Local\Google RemoveDirectory: C:\Users\lenovo\AppData\Local\Tempfolder RemoveDirectory: C:\Users\lenovo\AppData\LocalLow\Oracle RemoveDirectory: C:\Users\lenovo\AppData\LocalLow\Sun RemoveDirectory: C:\Users\lenovo\AppData\Roaming\.minecraft RemoveDirectory: C:\Users\lenovo\AppData\Roaming\Baskijmap RemoveDirectory: C:\Users\lenovo\AppData\Roaming\BuotesYimu RemoveDirectory: C:\Users\lenovo\AppData\Roaming\java RemoveDirectory: C:\Users\lenovo\AppData\Roaming\Kiezlef RemoveDirectory: C:\Users\lenovo\AppData\Roaming\MCorp RemoveDirectory: C:\Users\lenovo\AppData\Roaming\Sun RemoveDirectory: C:\Users\lenovo\AppData\Roaming\Tencent RemoveDirectory: C:\Users\lenovo\AppData\Roaming\UPUpdata RemoveDirectory: C:\Users\Public\Documents\dmp RemoveDirectory: C:\Users\Public\Thunder Network RemoveDirectory: C:\Windows\system32\dio RemoveDirectory: C:\Windows\system32\jib RemoveDirectory: C:\Windows\system32\pot RemoveDirectory: C:\Windows\system32\puui RemoveDirectory: C:\Windows\system32\qea RemoveDirectory: C:\Windows\system32\sib RemoveDirectory: C:\Windows\system32\sinh RemoveDirectory: C:\Windows\system32\wacj RemoveDirectory: C:\Windows\system32\ygh RemoveDirectory: C:\Windows\system32\yhi C:\Yeabeats Browser.lnk C:\ProgramData\webad.xml C:\Users\Default\Desktop\Microsoft Office.lnk C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt. Wypowiedz się czy są jeszcze jakieś problemy.

Pliki Fixlist są unikatowe i nie należy brać ich z innych tematów. Infekcja adware PriceFountain prawdopodobnie nabyta z serwisu dobreprogramy.pl przy udziale "Asystenta pobierania". Więcej na ten temat: KLIK. Ale jest tu więcej infekcji, tzn. modyfikacja serwerów DNS charakterystyczna dla DNS Unlocker. Działania do przeprowadzenia: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {64677645-26FD-424D-9EC9-EE0DE96269AC} - System32\Tasks\{21914C31-76C6-4537-A777-26BAC87F125A} => Firefox.exe hxxp://ui.skype.com/ui/0/7.21.0.100/pl/abandoninstall?page=tsMain Task: {7135CC5F-3DD8-417A-A7A1-41FA58B1011F} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\CE3D34B0F2E982E2B01C57FCCCFC2F41\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {D140AE9E-2AD1-4A46-97BE-CFF5DCF8D3C3} - System32\Tasks\aLepeszeKSuperintendentsCannieV2 => Rundll32.exe OaklandRejuvenescence.dll,main 7 1 Task: {E50F5979-EBB9-4955-A1FB-D8B3EADF4173} - System32\Tasks\{680C0B87-1A74-4A3A-BCAD-B559932F61DA} => pcalua.exe -a "C:\Users\aLepeszeK\AppData\Local\Temp\Temp1_Realtek_LAN_Win7-8-8-1_V787529_833529 (1).zip\Realtek_LAN_Win7-8-8-1_V787529_833529\LAN\Win7\setup.exe" Task: {F9F48836-19E3-400B-9C0D-480700138C68} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe HKLM-x32\...\Run: [Kepard] => "C:\Program Files (x86)\Kepard\Kepard.exe" tray HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Run: [Napisy24.pl] => "C:\Program Files (x86)\Napisy24\Napisy24.exe" AutoStart HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\Policies\Explorer: [] HKU\S-1-5-21-232294536-3578055018-3067616561-1000\...\MountPoints2: {6a91e9c8-eccf-11e5-b063-f079595b4040} - F:\Setup.exe S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-232294536-3578055018-3067616561-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-232294536-3578055018-3067616561-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=188 HKU\S-1-5-21-232294536-3578055018-3067616561-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\Program Files\CyberGhost 5 RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\QQBrowser RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerTracker 4 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\Google RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\Opera Software RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\PokerTracker 4 RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\SmartGuard RemoveDirectory: C:\Users\aLepeszeK\AppData\Local\SuperintendentsCannie RemoveDirectory: C:\Users\aLepeszeK\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\aLepeszeK\AppData\Roaming\WinZiper RemoveDirectory: C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR RemoveDirectory: C:\Users\Public\Documents\dmp C:\ProgramData\flwjycbm.bab C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BetclicPoker.com.lnk C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\CyberGhost 5.lnk C:\Users\aLepeszeK\Downloads\*-dp*.exe CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\aLepeszeK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

W raportach nie ma śladów tych przekierowań w Edge, ale FRST nie skanuje wszystkich ustawień. Zostanie tu wykonany reset ustawień Edge i inne drobne doczyszczanie. Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędne programy: HP Deskjet 5520 series — badanie mające na celu poprawę produktów, WebStorage. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-1391875746-577248832-3267673664-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF HKLM-x32\...\Run: [] => [X] BootExecute: autocheck autochk * bootdelete ManualProxies: Tcpip\..\Interfaces\{5b4a9d77-9cdb-4475-b276-2776b130a1ae}: [DhcpNameServer] 40.54.1.16 S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [83096 2015-11-25] (McAfee, Inc.) Task: {0C1B3FF8-5D95-4028-BF08-9D35E7833511} - System32\Tasks\{F25B2057-D00E-4B9B-BA14-663442D6A760} => pcalua.exe -a C:\Users\Agata\AppData\Roaming\WarThunder\Uninstaller.exe -c /Run /ePN:0W1T1C0T1M2Y1G1Q1P1C Task: {1A0EEC8C-AB4F-49C5-85BE-4E31589FB20E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {1B5A5CDD-6D80-4362-BE6D-7AFBAA6875A7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {2157C308-5827-4951-BD38-EF0C998B3585} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {25CDC5F6-22C0-4744-BFC5-4535A1FE9928} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\E9207EB106E716ACFD3B51D391498F16\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {54C26067-9148-4ECC-A4FF-50A520D140B2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {6045ED40-B08A-48E2-A6DF-F1D2DB89E1DE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8292F44E-3048-43C4-BCD7-9F8AEEFECF72} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {902BF050-2A5D-4F2F-9ED2-A7C1CDE68CFE} - \task Update -> Brak pliku Task: {C44442C3-2D81-487B-A094-B5D12656CE60} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D97A7CCA-DCE7-4926-85E3-154EA63578E1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {F50B1DAF-0343-4EE7-B0B4-8715CA69A2AC} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {F9DED7FD-E7E8-4C68-8CC2-A48D526D40C2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {FBDAEB41-B071-4332-9B45-474F88CF6B88} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\QQBrowser RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\WINDOWS\SysWOW64\_tWm C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\WINDOWS\System32\bootdelete.exe C:\WINDOWS\System32\bootdelete.lst C:\Windows\System32\drivers\mfeelamk.sys C:\WINDOWS\SysWOW64\123.html C:\WINDOWS\SysWOW64\data.bin EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

W systemie liczne infekcje adware, w tym modyfikacja systemowych plików dnsapi.dll oraz przejęte serwery DNS. Widać też, że pobierałeś z serwisu dobreprogramy "Asystent pobierania" a nie właściwe instalatory. Więcej na ten temat: KLIK. Działania do przeprowadzenia: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Deinstalacje: - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, wyszukaj plik deinstalatora i z prawokliku "Uruchom jako Administrator". - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Adobe AIR, Java 8 Update 65, Java 8 Update 71 (64-bit). 4. Wyłącz COMODO, gdyż może zablokować FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 lhgu; C:\ProgramData\\lhgu\\lhgu.exe [529408 2016-03-20] () [File not signed] R2 Lhtao; C:\Users\Oskar_2\AppData\Roaming\Kyiadare\Kyiadare.exe [174464 2016-03-18] () R2 Mofovoil; C:\Users\Oskar_2\AppData\Roaming\Bouriwy\Bouriwy.exe [174448 2016-03-19] () R2 Ruvsi; C:\Users\Oskar_2\AppData\Roaming\PiptoEtane\Ciwfof.exe [125808 2016-03-19] () R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [89840 2016-03-08] (Huorong Borui (Beijing) Technology Co., Ltd.) S2 ktip; "C:\Program Files\ktip\ktip.exe" /s iid=5674489 did=APSFTuto4PC sid=11 ref=98755442-2698-501e-053b-7d3f77cf59dc-PolicyMac id=32f6c6f0c472cf4f71174deecc12a0aebea8c248a4b5ed713c26dfee92989cf6 [X] S2 Lemxatxi; "C:\Users\Oskar_2\AppData\Roaming\ZafdygCanr\Tomorhuy.exe" -cms [X] S4 sptd2; System32\Drivers\sptd2.sys [X] Task: {1338BD96-7DC0-4FCD-B734-BEBF1FCF8380} - System32\Tasks\AdobeoaUpdate Ver 2015910 => C:\Users\Oskar\AppData\Roaming\wenguanjia\ElTaces.exe Task: {2F6DEDA1-BC2B-4480-AB42-9F83B8A66A4B} - System32\Tasks\Cyelma => C:\PROGRA~1\SHOPPE~1\Elipj.bat Task: {3ABBBCB2-B52E-4753-9E61-5DCF5C66DDCE} - System32\Tasks\{A471D989-5CC2-45A1-9B36-3AD188795DE9} => pcalua.exe -a C:\Users\Oskar\Downloads\GTA_V_Launcher_1_0_440_2.exe -d C:\WINDOWS\system32 Task: {557461C8-1F3F-4860-BCD4-D4506725333E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {5E8C5490-65BC-428A-B596-673603171790} - System32\Tasks\Ukarb => C:\PROGRA~1\GROOVE~1\Kukavawn.bat Task: {7424C173-330E-473D-921A-D44936CCCE44} - \CCleanerSkipUAC -> No File Task: {A5AEF42F-B379-4841-ACA4-1355946E08A2} - System32\Tasks\{EB07B9E7-AFE2-43EE-A6FD-93C458AD5ABF} => pcalua.exe -a "D:\Program Files (x86)\Need for Speed Carbon\setup.exe" -d "D:\Program Files (x86)\Need for Speed Carbon" Task: {ACA025F9-B575-4EA2-A38A-13DC2A2D446D} - System32\Tasks\{4225B075-748C-467E-9E2B-06CADF3910B9} => pcalua.exe -a "C:\Program Files (x86)\Object Browser\Uninstall.exe" -c /fcp=1 Task: {BCF1DA28-99A7-425E-8987-E4C58E390079} - System32\Tasks\{FB8EA1CD-C771-4154-8256-CC96C1E0006C} => pcalua.exe -a "C:\Program Files (x86)\AnyProtectEx\uninstall.exe" Task: {BE9679E9-066F-4FA0-958A-E688B9042A2C} - System32\Tasks\{46FF4027-3BA4-40F5-8B84-CE55AC2AC132} => pcalua.exe -a "C:\Program Files (x86)\MyBrowser\MyBrowser\Application\39.5.2171.95\Installer\setup.exe" -c --uninstall --system-level Task: {C9BEE582-9DAF-47E7-AC69-92A9C607F4FB} - System32\Tasks\A5C721D-BE7C-45DE-BDAB-F2A072F86353 => C:\Users\Oskar\AppData\Local\A5C721D-BE7C-45DE-BDAB-F2A072F86353\A5C721D-BE7C-45DE-BDAB-F2A072F86353.exe Task: {EED17BB3-68BF-4718-9B87-CB8861035BA6} - System32\Tasks\{4A42DEF0-6D88-4ABD-979B-CD6DC8A0CA2F} => launchwinapp.exe hxxp://ui.skype.com/ui/0/7.18.0.112/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: C:\WINDOWS\Tasks\AdobeoaUpdate Ver 2015910.job => C:\Users\Oskar\AppData\Roaming\wenguanjia\ElTaces.exe/check_update C:\Users\Oskar\AppData\Roaming\wenguanjia\OSKAR-PC\Oskar(This task detect has update.Ver HKLM-x32\...\Run: [ProductUpdater] => C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe HKLM-x32\...\Run: [mpck_en_005030271] => [X] HKLM-x32\...\Run: [win_en_77] => [X] HKLM-x32\...\Run: [sun21] => [X] HKLM-x32\...\Run: [rec_pl_229] => [X] HKLM-x32\...\Run: [systemClose] => D:\Documents\systemfile.exe HKU\S-1-5-21-4005860982-2939158325-716014447-1008\...\Run: [svchost0] => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe HKU\S-1-5-21-4005860982-2939158325-716014447-1008\...\MountPoints2: {e4d41890-7243-11e5-8334-d027884e6a45} - "J:\setup.exe" AppInit_DLLs: C:\ProgramData\lhgu\S-cof.dll => C:\ProgramData\lhgu\S-cof.dll [363520 2016-03-20] () AppInit_DLLs-x32: C:\ProgramData\lhgu\Zentrax.dll => C:\ProgramData\lhgu\Zentrax.dll [257536 2016-03-20] () ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicyScripts: Restriction HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1PbwLsaaO-xNshFawgFOQAP4TTSaLHscHiwO2U5tXBIw0Ypnrxpj_fRvywPXzdVPN15iY-ULpTEx6WpnHpLoB0OFfmJTBsuO HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} HKU\S-1-5-21-4005860982-2939158325-716014447-1008\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} SearchScopes: HKU\S-1-5-21-4005860982-2939158325-716014447-1008 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} SearchScopes: HKU\S-1-5-21-4005860982-2939158325-716014447-1008 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRubOTcn-D19msW3q_9HIdMvet1jYraV0ERnYPserNrXYMeptSR_eTmZk_sGUi1Pb89ocP6_uXDNzYtgaAQSm6D6oEy2J5deZfp1h7aXzbDCzFZgbmjLd1lUgHDAgdJOEqhJFqTpKwCiOT6s64d4drxCMbcQew&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1458386141&z=39a616c052261f8a4110452gfz9wfb7c2b9q6e1t9z&from=cmi&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursearching.com/?type=sc&ts=1458472476&z=092799a4db54c4842fe7258g8z0w6bfz0m8o0z9o2q&from=face&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3 ShortcutWithArgument: C:\Users\Oskar_2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursearching.com/?type=sc&ts=1458472476&z=092799a4db54c4842fe7258g8z0w6bfz0m8o0z9o2q&from=face&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursearching.com/?type=sc&ts=1458472476&z=092799a4db54c4842fe7258g8z0w6bfz0m8o0z9o2q&from=face&uid=ST500DM002-1BD142_Z2AQEPN3XXXXZ2AQEPN3 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy C:\Program Files (x86)\AdwCleaner C:\Program Files (x86)\badu C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\UCBrowser C:\ProgramData\Konksolexs C:\ProgramData\lhgu C:\ProgramData\lhgus C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2013 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\uninst C:\Users\Oskar_2\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Oskar_2\AppData\Local\Tempunpacker.exe C:\Users\Oskar_2\AppData\Local\app C:\Users\Oskar_2\AppData\Local\Lenovo C:\Users\Oskar_2\AppData\Local\Mozilla C:\Users\Oskar_2\AppData\Local\Steam\htmlcache C:\Users\Oskar_2\AppData\Local\Tempfolder C:\Users\Oskar_2\AppData\Local\UCBrowser C:\Users\Oskar_2\AppData\LocalLow\Company C:\Users\Oskar_2\AppData\Roaming\*.* C:\Users\Oskar_2\AppData\Roaming\Bouriwy C:\Users\Oskar_2\AppData\Roaming\Kyiadare C:\Users\Oskar_2\AppData\Roaming\MCorp C:\Users\Oskar_2\AppData\Roaming\Mozilla C:\Users\Oskar_2\AppData\Roaming\PiptoEtane C:\Users\Oskar_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Oskar_2\Downloads\*-dp*.exe C:\Users\Oskar_2\Downloads\Torrentex C:\Users\Public\Documents\dmp C:\WINDOWS\system32\eden C:\WINDOWS\system32\hiir C:\WINDOWS\system32\iesa C:\WINDOWS\system32\Drivers\bsdriver.sys C:\WINDOWS\system32\Drivers\cherimoya.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\System32\Tasks\Lenovo C:\WINDOWS\SysWOW64\findit.xml C:\WINDOWS\SysWOW64\Number of results DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\8B140DE3-3691-474C-bF79-96E348EBD612 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BrsHelper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dipubibu DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Freemake Improver DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gyvixodu DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\lehicewu DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\lulonuji DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQPCRTP DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Service KMSELDI DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\shopperz100920151159 Updater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SPBIUpd DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TAOFrame DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CCleaner Monitoring" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v svchost0 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v shopperz100920151159 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v shopperz10092015115964 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCPRODUCT /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpaceSoundPro /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ProductUpdater /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v wenguanjia /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SPDriver /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SmartWeb /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v " QQPCTray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvastUI.exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v pcmgr /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v apphide /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt. Wypowiedz się czy występują jeszcze jakieś problemy.