picasso

Czy ta płyta Recovery podczas startu udostępnia opcję typu "Napraw komputer"? Można też zrobić inaczej: Zrób płytkę TuxPE. Na stronie filmiku rozwiń blok "Pokaż więcej" i wejdź w link pobierania - interesuje Cię wersja tuxpe_303_iso.iso. Nowsze nie obsługują systemów 32-bitowych. Gdy już wypalisz tę płytę, zbootuj z niej. Płyta ma wbudowany eksplorator plików. W łatwy sposób możesz przekopiować już poprawny plik: C:\Windows\System32\pl-PL\aelupsvc.dll.mui ... do folderu zastępując wadliwą kopię: C:\Windows\winsxs\x86_microsoft-windows-a..structure.resources_31bf3856ad364e35_6.0.6000.16386_pl-pl_f539d28b07e02b53

Są tu dwa rodzaje problemów: - Obciążenie zasobów + zawias podczas zamykania: nie związane z infekcją. Jeśli miałby to być efekt ingerencji jakiegoś software, to pierwszy do sprawdzenia bardzo inwazyjny ESET Smart Security, tzn. jego tymczasowa instalacja. Nie jest także wykluczony problem sprzętowy, ale to jest przedmiotem innego działu Hardware. - Błędy startowe: produkują je odpadki adware Component Total w Harmonogramie zadań, notabene program jest także na liście zainstalowanych. To nieaktywne wpisy i nie mogą mieć żadnego związku z powyższym. Dodatkowo, cała przeglądarka Google Chrome jest w stanie "development", najprawdopodobniej przekonwertowana do tej wersji przez adware. Wymagana reinstalacja od zera. Pod kątem czyszczenia z odpadków i skutków obecności adware: 1. Operacje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji. Opcja 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2031BBB4-1467-4A82-981F-84AC506FE4EF} - System32\Tasks\Component Total => Rundll32.exe "C:\Users\Admin\AppData\Local\Component Total\{0B58B3D2-0ABB-C707-6E70-2F5B3C6F8934}\ComponentTotal.dll",#1 Task: {A4CB3336-ABBE-4D1A-9706-4806E0C32FBE} - System32\Tasks\BCRQ => C:\Users\Admin\AppData\Roaming\BCRQ.exe Task: {B1411188-70C4-4629-850D-DD15CBC5971E} - System32\Tasks\Component Total2 => Rundll32.exe "C:\Users\Admin\AppData\Local\Component Total\{0B58B3D2-0ABB-C707-6E70-2F5B3C6F8934}\fzx.dll",#1 Task: {EB5AD5F4-B0DB-4E55-BEBE-4169EEA9F76B} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: C:\Windows\Tasks\BCRQ.job => C:\Users\Admin\AppData\Roaming\BCRQ.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-885429063-2764608758-1024342436-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{38816D97-9398-00D1-7A78-4A5B79E3DE89} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\RelayLogistics RemoveDirectory: C:\Program Files (x86)\SABdrop RemoveDirectory: C:\Users\Admin\AppData\Roaming\E5F47680-1424294013-81DF-29A9-20CF302AF4CB C:\Users\Admin\AppData\Roaming\appdataFr3.bin C:\Users\Admin\AppData\Roaming\BCRQ Folder: C:\Users\Admin\wc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą wersję Google Chrome. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem adware nie został tu rozwiązany, widoczna aktywna usługa MaintainerSvc2.14.9041534 + sterownik webTinst, oraz polityki Google. Dodatkowo, w Google Chrome cała kolekcja rozszerzeń wątpliwej reputacji związanych z pobieraniem video - one wszystkie są replikami od tego samego producenta. Dla porównania co na temat odpowiedników Firefox jest napisane: KLIK. W Operze także siedzi jakiś pobieracz "Video Downloader 2015", teoretycznie oficjalnie hostowany na Opera Add-ons, ale nie jestem przekonana czy to na pewno rozszerzenie w 100% wolne od niepożądanych wtrętów - na razie je pomijam. A deinstalacja Firefox nie usuwa w ogóle profilu ani rozszerzeń i wtyczek na poziomie rejestru, więc to także będę likwidować. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 19 NPAPI, Java 8 Update 31. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 MaintainerSvc2.14.9041534; C:\ProgramData\aea8cc93-2213-47cf-a265-0391e3461dbb\maintainer.exe [128240 2015-10-22] () R2 webTinst; C:\windows\system32\Drivers\webTinst.sys [50264 2015-02-10] () U3 BcmSqlStartupSvc; Brak ImagePath U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 iATAgentService; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 nvUpdatusService; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerService; Brak ImagePath S1 pfnfd_1_10_0_8; system32\drivers\pfnfd_1_10_0_8.sys [X] U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 RtLedService; Brak ImagePath U2 SeaPort; Brak ImagePath U2 SoftwareService; Brak ImagePath U3 SQLWriter; Brak ImagePath U2 Stereo Service; Brak ImagePath Task: {1C8A05F0-2AEE-4F49-BED6-5D748940EDAF} - System32\Tasks\{58655CE6-A2F4-4EDB-8CA5-BA55620DD1CB} => pcalua.exe -a C:\Users\ala\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {48199BC2-F21F-436C-9BD4-F7F03E5AD76B} - System32\Tasks\{AD8B22F9-5C24-41D9-982D-448A0C2D6626} => pcalua.exe -a C:\Users\ala\Desktop\Faraon\Setup.exe -d C:\Users\ala\Desktop\Faraon Task: {8AF0E04A-E2C2-4AB3-B0D8-F9B54F647713} - System32\Tasks\{7957830F-4671-4B8F-B677-529A35F136FE} => C:\Users\ala\Desktop\Faraon\autorun.exe HKLM\...\Run: [Logitech Download Assistant] => C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=153 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1423572356&from=smt&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.mystartsearch.com/?type=hp&ts=1423576101&from=tt4u&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.sweet-page.com/?type=hp&ts=1423576517&from=cor&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037" CHR Session Restore: Default -> [funkcja włączona] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\aea8cc93-2213-47cf-a265-0391e3461dbb C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\Users\ala\AppData\Local\ACCCx2_8_1_451.zip.aamdownload C:\Users\ala\AppData\Local\ACCCx2_8_1_451.zip.aamdownload.aamd C:\Users\ala\AppData\Local\Mozilla C:\Users\ala\AppData\Roaming\Mozilla C:\Users\ala\Desktop\ALA\PITY\PITY 2011\e-Deklaracje.lnk C:\Users\ala\Desktop\ALA\PITY\PITY 2011\Pity Format 2010.lnk C:\Users\ala\Desktop\ALA\PITY\Pity 2009\PIT-OPP 2009.lnk C:\Users\ala\Desktop\ADAM\Manowar\RPG\RPG\Badlands\Skrót do Badlands.lnk C:\Users\ala\Desktop\Śmieci\DAEMON Tools Lite.lnk C:\Users\ala\Desktop\Śmieci\Mozilla Firefox.lnk C:\Users\ala\Desktop\Śmieci\WindowsPhone — skrót (2).lnk C:\Users\ala\Desktop\Śmieci\WindowsPhone — skrót.lnk C:\windows\system32\Drivers\webTinst.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj tę "kolekcję": Flash Video Downloader, HD Video Downloader professional, Video Downloader professional. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google (o ile coś tam będzie). 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\ala\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko potwierdzone jako usunięte. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Podałeś mi stare logi FRST zrobione przed ostatnim Fixem FRST i nie wykazujące rzecz jasna zmian. Poproszę o świeży zestaw FRST.txt + Addition.txt.

Wszystko zrobione, ale jeszcze dla pewności: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix FRST wykonany. Na koniec te same kroki jak w przypadku poprzedniego komputera + aktualizacja Java. I prawdopodobnie temat drugiego komputera wydzielę w nowy w dziale Windows, bo nie ma związku z infekcją. Na przyszłość: różne komputery = różne tematy.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To normalne - Fix FRST ma wbudowane zabijanie procesów wszystkich głównych przeglądarek. Fix wykonany. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Pliki *.ccc to zaszyfrowane wersje utworzone przez infekcję TeslaCrypt: KLIK. Odszyfrowanie plików nie jest możliwe na własną rękę "sposobem domowym" i nie ma żadnego dekodera dostępnego publicznie. Jedyne możliwości odkodowania plików to opłata przestępcom (niepolecane działanie) lub zgłoszenie się bezpośrednio do supportu Kasperskiego z prośbą o pomoc: KLIK. W mojej gestii jest jedynie doczyszczenie infekcji (ona jest aktywna) oraz innych śmieci, bo są tu też liczne obiekty adware, w tym infekcja pliku dnsapi.dll. I pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM-x32\...\Run: [gmsd_pl_005010137] => [X] HKLM-x32\...\Run: [gmsd_pl_005010140] => [X] HKLM-x32\...\Run: [rec_en_77] => [X] HKLM-x32\...\Run: [gmsd_pl_005010141] => [X] HKLM-x32\...\Run: [gmsd_pl_005010142] => [X] HKLM-x32\...\Run: [qewr2342] => C:\Users\fff\AppData\Roaming\yjexq-a.exe HKLM-x32\...\Run: [Orange_Poland LINKS ModemListener] => C:\Program Files (x86)\Airbox\Y858_Poland\BackgroundService\ModemListener.exe start HKLM-x32\...\Winlogon: [shell] Explorer.exe, [ ] () HKLM\...\Policies\Explorer\Run: [82120755] => C:\ProgramData\msuhqbqc.exe [78848 2014-10-29] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Run: [GoogleChromeAutoLaunch_9A416E56DFA36904EDC88884BFAAD356] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Run: [qewr2342] => C:\Users\fff\AppData\Roaming\yjexq-a.exe HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Policies\Explorer: [HideSCAHealth] 1 S1 {1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64; C:\Windows\System32\drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys [48776 2015-12-19] (StdLib) S1 {3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64; C:\Windows\System32\drivers\{3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64.sys [48776 2015-11-11] (StdLib) S2 Update Hard Case; C:\Program Files (x86)\Hard Case\updateHardCase.exe [651504 2015-12-20] () S2 Util Hard Case; C:\Program Files (x86)\Hard Case\bin\utilHardCase.exe [651504 2015-12-20] () S2 WinNetSvc; C:\Users\fff\AppData\Roaming\WinNetSvc\WinNetSvc.exe [4845408 2015-12-16] () S3 Huawei E3372; "C:\ProgramData\MobileBrServ\mbbservice.exe" -service [X] S3 RTSPER; \SystemRoot\system32\DRIVERS\RtsPer.sys [X] S1 {078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64; system32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys [X] S1 {27899312-155f-40f3-8661-fb6675d82b4b}Gw64; system32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys [X] S1 {3abcaa2c-a48f-4cd5-9f1d-4ba001bc6de2}Gw64; system32\drivers\{3abcaa2c-a48f-4cd5-9f1d-4ba001bc6de2}Gw64.sys [X] S1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; system32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [X] S1 {8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64; system32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64.sys [X] S1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}w64; system32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}w64.sys [X] S1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; system32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [X] S1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; system32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [X] S1 {ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64; system32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys [X] S1 {fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64; system32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys [X] Task: {0ECCD5AE-8C19-436A-B061-1DD080EB956D} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro 3.11\OptProLauncher.exe Task: {20BAA76C-F3CF-4DE3-AE21-E49591D4E3DD} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-6 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.exe Task: {268AB0A1-19B9-4A2F-BDEC-7900C2322CBE} - System32\Tasks\GoogleUpdateTaskMachineCore1d00daa6028d803 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {2AB60FC6-90E4-4FD3-908D-1267DFCF01E3} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: {453CB28C-AE96-4414-A623-414878FE0ABE} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5_user => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe Task: {661242DA-FA5C-4CC6-842E-94E4CC92EEDD} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe Task: {6ACD8FBE-BD3B-484A-89CC-4E207C4F3E68} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-7 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.exe Task: {8477970E-D65C-45DE-AB31-459DA3E8B619} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.exe Task: {C5878A08-0B85-47F1-AE7F-617952B0E21F} - System32\Tasks\Q6lLXq4SUDC => C:\Users\fff\AppData\Roaming\Q6lLXq4SUDC.exe Task: {D1935FF5-7B96-4115-B289-0074FC712F7F} - System32\Tasks\Aeiajyu => C:\PROGRA~1\SHOPPE~1\Libdop.bat Task: {D82C9CAE-20A5-469D-BC12-EE2C78996625} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.exe Task: {DA1C5239-7215-4FE5-A3F1-9D2D867F8991} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe Task: {DE93CFD7-CEB0-480B-BA5C-630934D5230B} - System32\Tasks\{9235CEFE-CA24-4387-B835-C8047937BA31} => pcalua.exe -a "C:\Program Files (x86)\Acer\Acer Portal\uninstall.exe" Task: {E9442772-AB38-4E99-8AF7-AF2C3268C309} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: {F986DC5F-1820-47BC-82CF-5EB7412BEA40} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: {FFD8A4A8-DA08-4F72-92C3-91215600F002} - System32\Tasks\AcerCloud => C:\Program Files (x86)\Acer\Acer Portal\AcerPortal.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5_user.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\Q6lLXq4SUDC.job => C:\Users\fff\AppData\Roaming\Q6lLXq4SUDC.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {6D32925A-EC0E-4E01-B14F-5C4D2AC47F99} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms} BHO-x32: Hard Case 1.0.0.7 -> {129adec8-a002-44a1-880a-7bd8518798c3} -> C:\Program Files (x86)\Hard Case\HardCasebho.dll [2015-08-21] (Hard Case) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1418328914&from=cor&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09 ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411 ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411 ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411 ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL [brak pliku] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => nie znaleziono FF HKLM\...\Firefox\Extensions: [{1004631C-2843-4B62-8C97-1A08E065D1F7}] - C:\Program Files\shopperz061120151826\Firefox\{1004631C-2843-4B62-8C97-1A08E065D1F7}.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{1004631C-2843-4B62-8C97-1A08E065D1F7}] - C:\Program Files\shopperz061120151826\Firefox\{1004631C-2843-4B62-8C97-1A08E065D1F7}.xpi => nie znaleziono HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\ProgramData\msuhqbqc.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\zf3i4r6e6f5o4x.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\Users\fff\AppData\Local\Google C:\Users\fff\AppData\Roaming\WinNetSvc C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk C:\Users\fff\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\fff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\avast! antivirus.lnk C:\Users\fff\Desktop\bzdety z pulpitu\abMedia.lnk C:\Users\fff\Desktop\bzdety z pulpitu\abPhoto.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Acer Portal.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Acer Remote Files.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Bin — skrót.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Booking.com.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Continue Microsoft Office Installation.lnk C:\Users\fff\Desktop\bzdety z pulpitu\CyberLink PowerDirector 10.lnk C:\Users\fff\Desktop\bzdety z pulpitu\CyberLink PowerDVD 12.lnk C:\Users\fff\Desktop\bzdety z pulpitu\eBay.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Huawei E3372.lnk C:\Users\fff\Desktop\bzdety z pulpitu\McAfee Security Scan Plus.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Avast Free Antivirus.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Opera.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Optimizer Pro.lnk C:\Users\fff\Pictures\page (2).ln C:\Users\fff\Pictures\natalia\Gramblr.lnk C:\Windows\system32\Conivew64.dll C:\Windows\System32\drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys C:\Windows\System32\drivers\{3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64.sys C:\Windows\SysWOW64\Conivew.dll CMD: bcdedit CMD: netsh advfirewall reset CMD: netsh winsock reset CMD: attrib -r -h -s C:\howto_recover_* /s CMD: del /q /s C:\howto_recover_* Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom RepairDNS. Na Pulpicie powstanie raport RepairDNS.txt 3. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware GoHD, GUPlayer, Hard Case, Reimage Protector, Setup, SpaceSoundPro Service (dwa wejścia), WordAnchor 1.10.0.20 oraz starszą wersję Java 8 Update 51 (64-bit). Jeśli coś nie będzie widoczne lub zwróci błąd, nie szkodzi, kontynuuj. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. 4. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt * i RepairDNS.txt. Odpowiedz mi też na pytanie czy Singapurski OpenDNS 208.67.220.220 został tu ustawiony celowo jako Zapasowy DNS. * Plik fixlog.txt może być ogromny, ze względu na usuwanie rekursywne z dysku wszystkich plików typu howto_recover_* dorobionych przez TeslaCrypt. Jeśli nie wejdzie do załącznika, shostuj go gdzieś i podaj do niego link. Reszta raportów jako załączniki forum.

Wszystko zrobione. Poboczna sprawa. W Google Chrome masz rozszerzenie kojarzone z instalacjami adware: PUP.Optional.OneTab. Czyli w Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj OneTab.

DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Nie przedstawiłeś wyników działań. Adresy pobrane z routera, Podstawowy + Zapasowy. A co jest aktualną bramą to wyciągniesz z ipconfig. Jeśli masz na myśli punkty 3 do 5: - Uszkodzony skrót widać w Shortcut.txt. Jest typem "Shortcut" a nie "ShortcutWithArgument" i brak specjalnego parametru. Albo źle go wyczyścił AdwCleaner, albo ktoś ręcznie żle naprawiał skrót. - Usuwane stare elementy .NET Framework Assistant bez podpisu cyfrowego, których nie da się odinstalować z poziomu opcji Firefox (elementy globalne). FF już blokuje niepodpisane dodatki, a od wersji 44 nawet nie będzie można tego obejść. - Reszta: widać z raportów, że wskazane do usunięcia elementy pochodzą od programów odinstalowanych lub są "puste".

Jest tu infekcja zaimplementowana na poziomie Harmonogramu zadań. Infekcja ta ładuje w kółko proxy. Task: {A2000C2B-2438-4042-9FB2-6A8DEF2F20B3} - System32\Tasks\KMSpico Update => Wscript.exe //nologo //B //E:jscript "C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini" Task: C:\Windows\Tasks\KMSpico Update.job => Wscript.exe Q/nologo /B /E:jscript C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini AutoConfigURL: [s-1-5-21-2326997545-1421444568-3186752591-1001] => hxxp://xn--koa.net/proxy.pac Referencje nazewnicze "KMSpico" i konstrukcja całości sugerują, że to wynik prób łamania aktywacji systemu. Potencjalny aktywator po prostu załadował trojana. I doprowadziłeś do tego, że obecnie w ogóle brak pliku Hosts i trzeba go odtwarzać. Działania do przeprowadzenia: 1. Jest tu wyłączone Przywracanie systemu. Z klawiatury klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz Ochronę dla dysku C:. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A2000C2B-2438-4042-9FB2-6A8DEF2F20B3} - System32\Tasks\KMSpico Update => Wscript.exe //nologo //B //E:jscript "C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini" Task: C:\Windows\Tasks\KMSpico Update.job => Wscript.exe Q/nologo /B /E:jscript C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini FF user.js: detected! => C:\Users\Dominik\AppData\Roaming\Mozilla\Firefox\Profiles\ip12n5wo.default\user.js [2015-12-20] C:\Program Files (x86)\Temp C:\Users\Dominik\AppData\Roaming\KMSpico C:\Windows\SECOH-QAD.exe C:\Windows\SECOH-QAD.dll RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Raporty zostały zrobione z poziomu konta limitowanego "M" (stąd też masa odczytów o "braku dostępu", "uszkodzonym WMI", etc.): ==================== Konta użytkowników: ============================= Bazooka (S-1-5-21-562281720-3894058892-620674494-1005 - Administrator - Enabled) => C:\Users\Bazooka M (S-1-5-21-562281720-3894058892-620674494-1000 - Limited - Enabled) => C:\Users\M Zaloguj się na konto administracyjne Bazooka poprzez pełny restart komputera (a nie opcje Wyloguj czy Przełącz użytkownika) i zrób nowe raporty FRST.txt + Addition.txt + Shortcut.txt. I na razie tu nie ma żadnych oznak, że przyczyną jest infekcja. Jeśli CCleaner uruchamiasz z poziomu konta limitowanego, to może być powód jego zachowania. Program i tak wymaga uprawnień administracyjnych do czyszczenia określonych sfer, z poziomu konta limitowanego mało co zrobi.

To nie jest wirus tylko adware. AdwCleaner go nie wykrywa, bo AdwCleaner bazuje na ręcznym dodawaniu definicji i niestety nie zawsze detekcje są dodane na czas. Droga nabycia to: KLIK (przypuszczalnie chodzi o portal dobreprogramy). I ten konkretny śmieć jest "sprytniejszy", nie instaluje się na poziomie przeglądarki lecz globalnie w Harmonogramie zadań - w Twoim przypadku jest to obiekt o nazwie BacteriophagesMonodistV2. Operacje do wdrożenia: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {339BA7E8-537F-42F6-B5F9-EA5EAE6FCF15} - System32\Tasks\BacteriophagesMonodistV2 => Rundll32.exe StylingsOxygenates.dll,main 7 1 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Diana\AppData\Local\BacteriophagesMonodist CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VAIO Premium Partners\VAIO Premium Partners.lnk" CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk" CMD: del /q "C:\Users\Diana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk" CMD: del /q "C:\Users\Diana\Desktop\RadarSync PC Updater 2011.lnk" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Diana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum. Bieżący log powstaje zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku: E:\Paula\Downloads. Działania do przeprowadzenia: 1. Odinstaluj: Adobe AIR (stara wersja), Search App by Ask (adware), Shared C Run-time for x64 (odpadek po odinstalowanym McAfee) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\1WdM1\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 PDIHWCTL; \??\C:\WINDOWS\system32\drivers\pdihwctl.sys [X] S1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X] ShortcutWithArgument: C:\Users\Paula\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 ShortcutWithArgument: C:\Users\Paula\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 ShortcutWithArgument: C:\Users\Paula\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 ShortcutWithArgument: C:\Users\Paula\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKU\S-1-5-21-1157153237-1038460167-4205843471-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKU\S-1-5-21-1157153237-1038460167-4205843471-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1157153237-1038460167-4205843471-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKU\S-1-5-21-1157153237-1038460167-4205843471-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448204421&z=119d25c6d07a82b7559d655gfz1zcbaoce7zfgeebo&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\ypp9sdkk.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\ypp9sdkk.default\extensions\yahooprotected@gmail.com => nie znaleziono CHR HomePage: Default -> search.ask.com/?gct=hp CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-11-13] CHR HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-11-13] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-21] HKLM\...\Run: [HotKeysCmds] => C:\WINDOWS\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\WINDOWS\system32\igfxpers.exe ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku Task: {06B6A2B4-C7D2-4DF4-9EAA-0BF963E0E4A5} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe FirewallRules: [{9B83FB95-1F4F-4F4B-865E-754ED4DC11FA}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe FirewallRules: [{2EBF6869-8907-44D6-96D9-AF8D29724EBF}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\AskPartnerNetwork RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\1WdM1 RemoveDirectory: C:\ProgramData\FWMiniProF RemoveDirectory: C:\ProgramData\rWdMr RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\Users\Paula\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Paula\AppData\Roaming\Picexa Viewer RemoveDirectory: C:\Users\Paula\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\Paula\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Paula\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Public\Desktop\Picexa.lnk C:\WINDOWS\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brak trzeciego obowiązkowego pliku FRST Shortcut. ESET to nie jest program wybitnie specjalizowany w instalacjach adware/PUP, a Spybot to przestarzały program. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 10 Plugin, Adobe Reader 9.5.5 - Polish, Bing Bar, Gadu-Gadu 10, Java 7 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Lucyna\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\eWdMe\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Lucyna\Desktop\Google Chrome.lnk -> C:\Users\Lucyna\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\Desktop\shronisko wc.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Users\Lucyna\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165" HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} HKU\S-1-5-21-1745266210-4204149599-3607975665-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} Toolbar: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449061196&z=f6755e3469d3fa6b4c54e6ag8z3z2tde4qbg9g1t6o&from=cor&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {2B0EAD29-7362-48BA-9A5E-3E22F52D2B6F} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {3A403907-9F3D-4B5B-B37D-0949CC81712A} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {80DA04E8-6A0D-43B8-89F5-E476155034F9} - System32\Tasks\{EA5F08D9-A8BF-4316-B9E3-338FCC9401C5} => pcalua.exe -a C:\Users\Lucyna\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=cor Task: {F43EB2AA-C477-42B1-AEB3-25F7051833A1} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe HKU\S-1-5-21-1745266210-4204149599-3607975665-1000\...\Run: [HW_OPENEYE_OUC_blueconnect] => C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-12-31] (Huawei Technologies Co., Ltd.) HKU\S-1-5-21-1745266210-4204149599-3607975665-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\ProgramData\eWdMe RemoveDirectory: C:\ProgramData\JWMiniProJ RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Lucyna\AppData\Local\Opera Software RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\TSv RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\yoursearching RemoveDirectory: C:\windows\System32\Tasks\Safer-Networking C:\ProgramData\{*}.* C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\windows\SysWOW64\pl.html CMD: for /d %f in (C:\Users\Lucyna\AppData\Local\{*}) do rd /s /q "%f" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym Addition + Shortcut, czyli trzy logi do przedstawienia. Dołącz też plik fixlog.txt.

Wszystko wykonane. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Czy masz płytę instalacyjną Vista?

W związku z tym, że to router tymczasowy, nie przykładam do niego dużej wagi obecnie, bo po powrocie Twojego routera sytuacja całkowicie ulegnie zmianie (inne urządzenie rozdzielające i zabawa od początku). Ale gdybyś chciał dalej drążyć temat, może być konieczna aktualizacja firmware tego routera, tylko nie wiem czy ten tymczasowy router podlega jakimkolwiek manipulacjom. Infekcja ma przyczynę w niezabezpieczonym routerze, Windows nie ma tu nic do rzeczy. Konkretnie chodzi o domyślny login (określone marki routerów mają publicznie znane loginy domyślne np. admin - admin) oraz niezamknięty dostęp do panelu zarządzenia: KLIK, KLIK. Gdy otrzymasz swój poprzedni router, trzeba będzie sprawdzić te wszystkie zabezpieczenia. I jaki to model tego właściwego routera? To nie mogło pomóc, żadnego związku z infekcją. To były w 99% drobne puste wpisy po odinstalowanych aplikacjach, nieaktywne.

Z FRST.txt: Tcpip\Parameters: [DhcpNameServer] 192.168.1.20 172.19.5.1 Tcpip\Parameters: [NameServer] 199.203.131.145 82.163.143.167 Tcpip\..\Interfaces\{2583ED45-891F-436E-B637-2DE714215E0A}: [NameServer] 199.203.131.145 82.163.143.167,8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{2583ED45-891F-436E-B637-2DE714215E0A}: [DhcpNameServer] 192.168.1.20 172.19.5.1 Tcpip\..\Interfaces\{F609D45B-B2ED-4CB9-9173-A7AEF8B78674}: [NameServer] 199.203.131.145 82.163.143.167 Tcpip\..\Interfaces\{F609D45B-B2ED-4CB9-9173-A7AEF8B78674}: [DhcpNameServer] 199.203.131.145 Z Addition.txt: DNS Servers: 199.203.131.145 - 82.163.143.167 Ilość wystąpień w FRST.txt zależy od ilości interfejsów sieciowych. Przykładowo może być kilka kart sieciowych. DhcpNameServer - serwery pobierane z routera. NameServer - serwery DNS ustawione spod Windows. Są tu szkodliwie zmodyfikowane oba typy ustawione na izraelskie DNS 199.203.131.145 82.163.143.167, przy czym to szkodliwe DhcpNameServer może należeć do odpadkowego interfejsu, bo inne wystąpienia DhcpNameServer mają wewnętrzne adresy routera. I szkodniki to adresy bieżące - spis z FRST.txt to wszystkie ustawienia z rejestru, ale w Addition.txt jest dodatkowy skan pobierany metodą ipconfig a nie przez rejestr, pokazujący które IP są aktywne. Operacje do wykonania: 1. Upewnij się w kwestii routera. Zaloguj się do routera i potwierdź jak są ustawione serwery DNS. Poza tym, zweryfikuj zabezpieczenia routera. Tzn. zmień hasło oraz sprawdź konfigurację dostępu do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom też ten test: KLIK. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zarządzaj połączeniami sieciowymi > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Odinstaluj stary dziurawy Adobe Flash Player 10 ActiveX. Następnie uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 4. Drobna korekta relatywna do uszkodzonego specjalnego skrótu IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Czyszczenie bufora DNS, cache oraz wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Petite Honey; Brak ImagePath S2 Smarmy Appointment; "C:\Program Files\Smarmy Appointment\00f58bb3.ftf.ftf" [X] HKU\S-1-5-21-2561007068-3426219417-2760897497-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> CustomCLSID: HKU\S-1-5-21-2561007068-3426219417-2760897497-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Jan\AppData\Local\Temp\4af24f5a\temp\Win8.1_Lumia_drivers_new.rar.exe => Brak pliku Task: {3C383C77-6A90-4DF5-843D-D703F7E24414} - System32\Tasks\e-pity2015_kwiecien => C:\Program Files\e-file\e-pity2014\Assets\signxml.exe Task: {7BC31E8C-7AA4-448D-B519-5938ADE2025A} - System32\Tasks\e-pity2015_styczen => C:\Program Files\e-file\e-pity2014\Assets\signxml.exe FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2013-08-08] [brak podpisu cyfrowego] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Apple Software Update RemoveDirectory: C:\Program Files\Google RemoveDirectory: C:\Program Files\QuickTime RemoveDirectory: C:\Program Files\Common Files\Apple RemoveDirectory: C:\Users\Jan\AppData\Local\Apple RemoveDirectory: C:\Users\Jan\AppData\Local\Apple Computer RemoveDirectory: C:\Users\Jan\AppData\Local\Google RemoveDirectory: C:\Users\Jan\AppData\LocalLow\Apple Computer RemoveDirectory: C:\Users\Jan\AppData\Roaming\Apple Computer RemoveDirectory: C:\Users\Jan\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\is.dat C:\Program Files\uik.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\Users\Jan\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk C:\Users\Jan\Desktop\GG.lnk C:\Users\Jan\Desktop\AGA\PIT Projekt 2013.lnk C:\Users\Jan\Desktop\alfprof3\INSTRUKC.LNK CMD: netsh advfirewall reset CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 6. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem reklam nadal występuje.

Samo wywołanie F8 nie powinno mieć nic do rzeczy i jest to przypadek. Wyłącz laptopa od zasilania, odczekaj chwilę i spróbuj go ponownie uruchomić. A tak poza tym, to czy na pewno masz pod F8 opcję "Napraw komputer"? Systemy Vista tego nie posiadają, o ile producent laptopa nie dodał tego na własną rękę.

Kończymy: 1. MBAM znalazł po prostu pliki pobranych "downloaderów", który inicjowały instalację adware. Usuń je ręcznie lub za pomocą MBAM. 2. Odinstaluj jeszcze Adobe Flash Player 20 NPAPI. To wtyczka dla nieistniejącego tu Firefoxa. 3. Ręcznie usuń FRST i jego logi z folderu Malware - narzędzia zlokalizowanego na Pulpicie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Ostatnia poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.