picasso

Od infekcji adware widzę tylko szczątki (np. w Harmonogramie zadań) oraz dużo pustych wpisów. Doczyśćmy to co widać: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Google Talk Plugin (nie działa), Microsoft SkyDrive , RealPlayer, Shared C Run-time for x64 (odpadek po McAfee). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.8.130\McCHSvc.exe [235216 2013-10-16] (McAfee, Inc.) S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] Task: {019460D8-B19B-40B7-B842-077EA0ACB8CA} - System32\Tasks\{840C9D5B-53B4-4B56-8E2E-858A078FCA42} => pcalua.exe -a "C:\Program Files (x86)\SMRecorder\uninst.exe" Task: {318575CD-9B60-412F-909F-DFE2E55C9870} - System32\Tasks\ggQzCxMgxBiMEWDIy => C:\Users\Jakub\AppData\Roaming\ggQzCxMgxBiMEWDIy.exe Task: {675FB88B-B10D-46C7-85E2-1BEDCD2DD6F0} - System32\Tasks\Sony Corporation\VAIO Control Center\NetworkSetting\NetworkSetting Logon Start => C:\Program Files (x86)\Sony\VAIO Control Center\NetworkSetting\NetworkClient Task: {752D2124-798C-45B1-892F-34EA1F27B5D2} - System32\Tasks\{8251F3EA-288E-42B0-9684-35ACD4D7B518} => pcalua.exe -a C:\Users\Jakub\AppData\Local\9BB10050-1447280559-11E2-A8A4-3C0771764B39\Uninstall.exe Task: {89DC8B76-0FD1-468B-9887-87BE0BB2F195} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002Core => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe Task: {977ABFC5-EDE2-426E-9D45-C3D7A6659954} - System32\Tasks\{1CD37C89-F870-4092-B42D-EC63EF276F21} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.13.0.104&LastError=12002 Task: {B4EEBB56-C0CF-4085-A8CC-8E8009629BBD} - System32\Tasks\Touch Builder => Rundll32.exe "C:\Users\Jakub\AppData\Local\Touch Builder\xBin\TouchBuilder.dll",#3 Task: {B9853A46-5480-4D70-A2D9-09ED646F0EA8} - System32\Tasks\Sony Corporation\VAIO Care\UpdateContacts => %ProgramData%\Sony Corporation\VAIO Care\UpdateContacts.exe Task: {C7871011-B2FA-42DA-9FC1-F4DB83532442} - System32\Tasks\n0MqUdXPr9LlfCUYNu0d10 => C:\Users\Jakub\AppData\Roaming\n0MqUdXPr9LlfCUYNu0d10.exe Task: {EC872F2F-084B-45C6-8840-B5238FBE55BC} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002UA => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe Task: {EFD0663C-6BB5-4471-8614-12706D79648F} - System32\Tasks\{1E8A2FC3-87F1-405A-B863-FD586D5D7088} => pcalua.exe -a C:\Users\Jakub\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: C:\WINDOWS\Tasks\ggQzCxMgxBiMEWDIy.job => C:\Users\Jakub\AppData\Roaming\ggQzCxMgxBiMEWDIy.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002Core.job => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002UA.job => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\n0MqUdXPr9LlfCUYNu0d10.job => C:\Users\Jakub\AppData\Roaming\n0MqUdXPr9LlfCUYNu0d10.exe HKU\S-1-5-21-2053194998-3405878221-685674103-1002\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-2053194998-3405878221-685674103-1002\...\Run: [Google Update] => "C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe" /c HKU\S-1-5-21-2053194998-3405878221-685674103-1002\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\chomikbox.exe ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{9E506282-69D3-5ABA-9C1D-15994B37F4AC}\InprocServer32 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{9E506282-69D3-5ABA-9C1D-15994B37F4AD}\InprocServer32 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej). CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej). CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej). CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{F8071786-1FD0-4A66-81A1-3CBE29274458}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\FileSyncApi64.dll => Brak pliku GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-2053194998-3405878221-685674103-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130917278024481883&GUID=45E76245-E4E9-4DBF-8456-707494D2EDB3 URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe CMD: type "C:\Program Files (x86)\mozilla firefox\defaults\pref\!B47960E2D889DD55984943B04E3AA048B479.js" FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!B47960E2D889DD55984943B04E3AA048B479.js [2015-11-11] FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [brak pliku] FF Plugin HKU\S-1-5-21-2053194998-3405878221-685674103-1002: @tools.google.com/Google Update;version=3 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll [brak pliku] FF Plugin HKU\S-1-5-21-2053194998-3405878221-685674103-1002: @tools.google.com/Google Update;version=9 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll [brak pliku] FF Plugin HKU\S-1-5-21-2053194998-3405878221-685674103-1002: intel.com/AppUpx64 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll [brak pliku] C:\Program Files (x86)\Sony\MSS C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\PhotoFiltre 7 information.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\PhotoMasque information.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\Uninstall PhotoFiltre 7.lnk C:\Users\Jakub\AppData\Roaming\ggQzCxMgxBiMEWDIy C:\Users\Jakub\AppData\Roaming\n0MqUdXPr9LlfCUYNu0d10 C:\Users\Jakub\AppData\Roaming\Mozilla\plugins C:\Users\Jakub\AppData\Roaming\Opera Software C:\Users\Jakub\AppData\Roaming\SoftOrbits C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SkyDrive.lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Stronghold 3.lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OpenIV C:\Users\Jakub\Desktop\Kuba\Steam.lnk C:\Users\Jakub\Desktop\Kuba\Projekty\PROGRAMY\AIMP3.lnk C:\Users\Jakub\Desktop\Kuba\Projekty\PROGRAMY\Cool Edit Pro 2.1.lnk C:\Users\Jakub\Desktop\Kuba\Projekty\PROGRAMY\energyXT 2.5.lnk C:\Users\Jakub\Music\muzyka1\ASIO4ALL v2 Instruction Manual.lnk C:\Users\Jakub\Music\muzyka1\Audacity.lnk C:\Users\Jakub\Music\muzyka1\energyXT 2.5.lnk C:\Users\Jakub\Music\muzyka1\Samplitude Pro X Download Version.lnk C:\Users\Public\QiYi C:\Users\UpdatusUser\Desktop\*.lnk C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\WINDOWS\SysWOW64\REN*.tmp Folder: C:\results Folder: C:\Update Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "ALLPlayer WiFi Remote" /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Google Update" /f Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Run" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jakie są aktualnie problemy.

Proszę przeczytaj zasady działu: KLIK. Tytuł tematu zmieniam. Logi z przestarzałego OTL nie są tu w ogóle już brane pod uwagę, usuwam. Obowiązkowe logi to FRST i GMER. PS. Logów z AdwCleaner nie usuwaj, ma być wiadome co program znalazł.

No cóż, to jest jakiś wariant. Ale najpierw zaczęłabym od czegoś innego, a zajmie Ci to sporo czasu. Sprawdzić wszystkie które mają w oknie status "Decrypted" czy naprawdę działają po odkodowaniu, bo może się zdarzyć że coś jednak nie będzie działać. Następnie wszystkie te które mają status "Processing error" skopiować na jakiś zewnętrzy nośnik do późniejszego dekodowania.

Brak oznak infekcji, a wpisami szczątkowymi nie ma co się zajmować na razie. Temat przenoszę do stosowniejszego działu: 1. ... czyli Hardware. W Dzienniku zdarzeń powtarza się poniższy błąd. Dostarcz dane wymagane działem: KLIK. Dziennik System: ============= Error: (11/11/2015 09:14:09 AM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. Error: (11/11/2015 09:11:12 AM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. Error: (11/11/2015 09:11:12 AM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. 2. Sugestie dotyczące części software: ----> Problem z wieszaniem może generować także Kaspersky Internet Security per se. Warto sprawdzić co się stanie po jego całkowitej tymczasowej instalacji. ----> System jest w ogóle nieaktualizowany, brak SP1 i reszty, co może mieć jakiś wpływ: Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 9 (Domyślna przeglądarka: FF)

Tak, duplikaty są spodziewane. Dekoder zabezpiecza się na wypadek niepowodzenia. Nie usuwa zaszyfrowanych wersji i tworzy wersje niezaszyfrowane. Te wszystkie zaszyfrowane pliki to usunę hurtowo za pomocą FRST, ale zanim to nastąpi musisz mi potwierdzić, że Kaspersky odkodował wszystko i że odkodowane pliki działają. Na obrazku widać, że wykryto więcej plików niż odkodowano, a wiele wystąpień ma opis "Processing error" (= błąd przetwarzania) i nie nie wiem do czego to podciągnąć (brak miejsca na dysku? inne powody?).

Temat przenoszę do działu Sieci. Nic tu nie wskazuje na problem infekcji. 1. Pierwszy podejrzany to Norton Internet Security (wbudowany firewall i filtry sieciowe), stary - sterowniki z roku 2013. Rozpocznij od jego deinstalacji via Panel sterowania. Następnie jeszcze z poziomu Trybu awaryjnego popraw narzędziem Norton Removal Tool. 2. Jeśli nie będzie rezultatów, dostarcz dane wymagane działem Sieci: KLIK.

Jesteś kolejną osobą, która zgłasza taki komunikat. Nie mam pojęcia jak on wygląda, ale opis sugeruje komunikat-fałszywkę. W systemie nie ma żadnych oznak infekcji wirusem Sality, ani innym. SalityKiller zawsze będzie raportował na czystym systemie "executed registry scripts: 1", gdyż importuje do rejestru pewne wpisy niezależnie od tego czy faktycznie są one naruszone. Do wykonania tylko: 1. Napraw minimalny błąd WMI numer 10 narzędziem Fix-it: KLIK. 2. Odinstaluj starsze wersje: Acrobat.com, Adobe AIR, Adobe Reader 9. 3. Operacje "kosmetyczne", tzn. usunięcie szczątków programowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,C:\Program Files (x86)\kloudian\logonsession.exe, S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] S3 MSICDSetup; \??\K:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\K:\NTIOLib_X64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Task: {25C535D5-92F5-48FD-8E6C-ECCD7D5C1667} - System32\Tasks\{8AAF94F4-7EE7-4107-88E1-89E0576385B3} => Firefox.exe hxxp://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?source=lightinstaller&page=tsPlugin Task: {575E7965-CF3F-4A3C-AF7F-EB59E99BB48F} - \{8EA65034-8118-4C2D-95DD-9BCE11D1F56F} -> Brak pliku Task: {8EFEB094-5925-494D-AF59-0631BE7648F7} - System32\Tasks\{E57E7529-9B7D-4E9E-A586-B2D1DAC2B6E1} => pcalua.exe -a "H:\Programy\Encyklopedia Zjawisk Paranormalnych\ezp2.exe" -d "H:\Programy\Encyklopedia Zjawisk Paranormalnych" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Arabian Nights C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kloudian C:\Users\Kise\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Kise\AppData\Local\Microsoft\Windows\GameExplorer\{4EF42243-4F51-45C5-A049-7790D5E7EB05} C:\Users\Kise\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSub C:\Users\Kise\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\mpowerplayer C:\Users\Kise\AppData\Roaming\Microsoft\Word\Nowy%20Microsoft%20Word%20Document304811701351814455\Nowy%20Microsoft%20Word%20Document.docx.lnk C:\Users\Kise\Documents\troche smieci\Easy Video Joiner.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gesture" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.

Przez SHIFT+DEl (omija Kosz) skasuj pobrany FRST, jego logi oraz folder C:\FRST. To tyle. Temat rozwiązany. Zamykam.

Wszysto pomyślnie przetworzone, problem powinien ustąpić. Ostatni skrypt do FRST - do Notatnika wklej: S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\ProgramData\RogueKiller Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Kolejna porcja. Wklej do Notatnika: DeleteKey: HKCU\Software\ArenaHD DeleteKey: HKCU\Software\DAILYPCCLEAN DeleteKey: HKCU\Software\GlobalUpdate DeleteKey: HKCU\Software\HighDefAction DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\MyBestOffersToday DeleteKey: HKCU\Software\StartSearch DeleteKey: HKCU\Software\TutoTag DeleteKey: HKCU\Software\vShare.tv DeleteKey: HKCU\Software\YorkNewCin DeleteKey: HKCU\Software\AppDataLow\Software\Crossrider DeleteKey: HKCU\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExd DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExi DeleteKey: HKLM\SOFTWARE\ArenaHD DeleteKey: HKLM\SOFTWARE\HighDefAction DeleteKey: HKLM\SOFTWARE\im-dosearch DeleteKey: HKLM\SOFTWARE\SAKURA DeleteKey: HKLM\SOFTWARE\seekmx DeleteKey: HKLM\SOFTWARE\ShopperPro DeleteKey: HKLM\SOFTWARE\YorkNewCin DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\Crossrider DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\_CrossriderRegNamePlaceHolder_ DeleteKey: HKLM\SOFTWARE\Wow6432Node\eSafeSecControl DeleteKey: HKLM\SOFTWARE\Wow6432Node\GlobalUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\SP Global DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tutorials DeleteKey: HKLM\SOFTWARE\Wow6432Node\YorkNewCin DeleteKey: HKLM\SOFTWARE\Wow6432Node\HighDefAction DeleteKey: HKLM\SOFTWARE\Wow6432Node\oursurfingSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\ArenaHD DeleteKey: HKLM\SOFTWARE\Wow6432Node\im-dosearch DeleteKey: HKLM\SOFTWARE\Wow6432Node\seekmx DeleteKey: HKLM\SOFTWARE\Wow6432Node\Crashhd DeleteKey: HKLM\SOFTWARE\Wow6432Node\SAKURA DeleteKey: HKLM\SOFTWARE\Wow6432Node\NetTcpHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\NtSvcHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{61AB12E1-A5FF-11D1-B2E9-444553540000} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{82351441-9094-11D1-A24B-00A0C932C7DF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D879A501-50A7-BEFC-A4C5-32DC6E0CB208} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{82351433-9094-11D1-A24B-00A0C932C7DF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\ShopperPro.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SU DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GLOBALUPDATE.EXE DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{0014298C-A9BA-440D-AAA8-AD12C7010EE5} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{181A06EA-B82C-47DE-B851-E20FD0E1CC7D} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NetTcpHandler DeleteKey: HKU\S-1-5-18\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Installer DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_ RemoveDirectory: C:\ProgramData\BurrowsEE2siave RemoveDirectory: C:\users\user\AppData\LocalLow\BurrowsEE2siave RemoveDirectory: C:\users\user\AppData\Roaming\NCdownloader CMD: del /q "C:\Users\user\Downloads\kavremvr 2015-11-09 18-49-55 (pid 1208).log" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na początek poczytaj ogólnie skąd ten typ instalacji wchodzi: KLIK. Jeśli chodzi o zabezpieczenie ograniczające takie instalacje (blokujące je), to tam na końcu jest linkowany darmowy program Unchecky. Ponadto, komercyjna wersja MBAM ma strażnika, który także może zatrzymać pewne instalacje.

Fix pomyślnie wykonany. Kończymy: 1. Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. 2. Cały system do aktualizacji, brak SP1 + IE11 + reszty łat: Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Opera)

Program pomyślnie wykonał zadanie. Teraz do Notatnika wklej: FF Plugin: @java.com/DTPlugin,version=10.7.2 -> C:\Windows\system32\npDeployJava1.dll [2013-06-14] (Oracle Corporation) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Avira RemoveDirectory: C:\ProgramData\Avira RemoveDirectory: C:\Users\Pawel\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Pawel\Downloads\FRST-OlderVersion Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wszystkie skróty LNK Firefoxa mają doklejony ten szkodliwy adres. Poza tym, są inne odpadki adware do czyszczenia. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj starsze wersje i inne: Adobe Reader X (10.1.16) MUI, Akamai NetSession Interface, FileViewPro (program typu "PUP"), Shared C Run-time for x64 (odpadek po McAfee). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Natalka\AppData\Roaming\TSv\TSvr.exe [396944 2015-10-26] (tsvr.com) S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.8.130\McCHSvc.exe [235216 2013-10-16] (McAfee, Inc.) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [169632 2015-10-10] (TODO: ) S3 AvastVBoxSvc; C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-3391024131-566000767-83427015-1001\...\Run: [backgroundContainerV2] => "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Natalka\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun Task: {5256E84E-7F90-4F46-812B-39E19F631EA4} - System32\Tasks\Sony Corporation\VAIO Control Center\NetworkSetting\NetworkSetting Logon Start => C:\Program Files (x86)\Sony\VAIO Control Center\NetworkSetting\NetworkClient Task: {622989EB-B345-41BD-B8AE-966268B4E933} - System32\Tasks\{2CECCF90-0393-472F-A502-57E10EF7531E} => pcalua.exe -a "C:\Program Files\Autodesk\Inventor 2013\Setup\pl-PL\Setup\Setup.exe" -d "C:\Program Files\Autodesk\Inventor 2013\Setup\pl-PL\Setup" Task: {75CB9EB2-9A90-475F-B290-CC99D4D9A14F} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5_user => C:\Program Files (x86)\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exe [2014-09-04] (home) Task: {9C704121-CC9F-4249-860D-954A23112B9C} - System32\Tasks\{CA6F4F94-C4BD-48AF-A9D1-CEF0CDACF128} => Firefox.exe hxxp://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsProgressBar Task: {B84704C8-6EE2-45B5-A9BE-9001C7B01DE1} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {BC71856D-AD0F-41FD-8E3A-CBF3BEA71D01} - System32\Tasks\Hoolapp Init => C:\Users\Natalka\AppData\Roaming\HOOLAP~1\Hoolapp.exe Task: {C636054B-81C3-4FA7-906E-207BDDEE9C61} - System32\Tasks\Hoolapp For Android => C:\Users\Natalka\AppData\Roaming\HOOLAP~1\UPDATE~1\UPDATE~1.EXE Task: {FCAE40D8-1E64-4F77-860C-EEC57F7DD62A} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5 => C:\Program Files (x86)\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exe [2014-09-04] (home) Task: C:\WINDOWS\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.job => C:\Program Files (x86)\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exeʴ/runupdater /agentregpath='TheHDvid-Codec V10' /appid=63315 /srcid='001824' /subid='0' /zdata='0' /bic=66202D008EFA497EBE34C6F3F89ACBE3IE /verifier=58a3029d02d024f72cbbff4c8c5dd581 /installerversion=1_34_08_12 /installationtime=1409852852 /statsdomain=hxxp:/stats.loadgenclientservice.com /errorsdomain=hxxp:/errors.loadgenclientservice.com /geoserviceurl=hxxp:/ipgeoapi.com/ /updatejsondomain=hxxp:/update.loadgenclientservice.com /sid=S-1-5-21-3391024131-566000767-83427015-1001 /updaterversion=6 /monetizationdomain=hxxp:/logs.loadgenclientservice.com /autoupdateulr='hxxp:/update.loadgenclientservice.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5_user.job => C:\Program Files (x86)\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exeʾ/runupdater /agentregpath='TheHDvid-Codec V10' /appid=63315 /srcid='001824' /subid='0' /zdata='0' /bic=66202D008EFA497EBE34C6F3F89ACBE3IE /verifier=58a3029d02d024f72cbbff4c8c5dd581 /installerversion=1_34_08_12 /installationtime=1409852852 /statsdomain=hxxp:/stats.loadgenclientservice.com /errorsdomain=hxxp:/errors.loadgenclientservice.com /geoserviceurl=hxxp:/ipgeoapi.com/ /updatejsondomain=hxxp:/update.loadgenclientservice.com /sid=S-1-5-21-3391024131-566000767-83427015-1001 /updaterversion=6 /monetizationdomain=hxxp:/logs.loadgenclientservice.com /autoupdateulr='hxxp:/update.loadgenclientservice.com/updater_agent_updates/{CAMP_ID}/update.jso ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1446228267&z=5d76b4c59bc16e7826dbf1dg8zfzcq6o3o8b4e2z2c&from=ient07031&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1446228267&z=5d76b4c59bc16e7826dbf1dg8zfzcq6o3o8b4e2z2c&from=ient07031&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1446228267&z=5d76b4c59bc16e7826dbf1dg8zfzcq6o3o8b4e2z2c&from=ient07031&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.delta-homes.com/?type=sc&ts=1446228267&z=5d76b4c59bc16e7826dbf1dg8zfzcq6o3o8b4e2z2c&from=ient07031&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.delta-homes.com/?type=sc&ts=1446228267&z=5d76b4c59bc16e7826dbf1dg8zfzcq6o3o8b4e2z2c&from=ient07031&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Natalka\AppData\Roaming\Mozilla\Firefox\Profiles\wsb4lyav.default-1429948271931\extensions\quick_searchff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Natalka\AppData\Roaming\Mozilla\Firefox\Profiles\wsb4lyav.default-1429948271931\extensions\sweetsearch@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Natalka\AppData\Roaming\Mozilla\Firefox\Profiles\wsb4lyav.default-1429948271931\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Natalka\AppData\Roaming\Mozilla\Firefox\Profiles\wsb4lyav.default-1429948271931\extensions\defsearchp@gmail.com => nie znaleziono FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [brak pliku] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1409852958&from=ild&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1409852958&from=ild&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1409852958&from=ild&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1409852958&from=ild&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3391024131-566000767-83427015-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3391024131-566000767-83427015-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3391024131-566000767-83427015-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 URLSearchHook: HKU\S-1-5-21-3391024131-566000767-83427015-1001 - (Brak nazwy) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1434037603&z=ec67a450f7cc0ff4fb07aacgaz5cbz7e1c0m9w9t8z&from=ient06110&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {66B640F2-A14B-4A7D-829F-0E634975CFD3} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {7473b6bd-4691-4744-a82b-7854eb3d70b6} -> Brak pliku BHO-x32: Brak nazwy -> {8CF5CC94-DA79-208C-65F6-9F342A7EE5C3} -> Brak pliku BHO-x32: Brak nazwy -> {8D254E8F-21B5-D7F8-903C-73C85E7A1433} -> Brak pliku Toolbar: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> Brak nazwy - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - Brak pliku Toolbar: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> Brak nazwy - {25E2E5C9-C43C-4EE8-B23E-4383915F2BCE} - Brak pliku CustomCLSID: HKU\S-1-5-21-3391024131-566000767-83427015-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Natalka\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\Program Files (x86)\MiuiTab C:\Program Files (x86)\SFK C:\Program Files (x86)\Sony\MSS C:\Program Files (x86)\TheHDvid-Codec V10 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\MailUpdate C:\ProgramData\Temp C:\Users\Natalka\AppData\Local\Conduit C:\Users\Natalka\AppData\Local\CRE C:\Users\Natalka\AppData\Local\GG C:\Users\Natalka\AppData\Local\Google C:\Users\Natalka\AppData\Roaming\MailUpdate C:\Users\Natalka\AppData\Roaming\TSv C:\Users\Natalka\AppData\Roaming\Autodesk\Autodesk Robot Structural Analysis Engine 2012Q4\CfgUsr\defcfg.lnk C:\Users\Natalka\Links\GG dysk.lnk C:\Users\Natalka\Documents\PITy 2012.lnk C:\Users\Natalka\Documents\Inventor\Default.lnk C:\WINDOWS\SysWOW64\pl.html Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C3F3165C-74D3-6FDB-3274-14FDA8698CFA} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E5B7E1B4-21FC-6765-A3D7-BA0416DC6AF7} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg query HKU\S-1-5-21-3391024131-566000767-83427015-1001_Classes\CLSID\{0215A4C0-5431-4FD0-9B06-46589B5C4939} /s Reg: reg query HKU\S-1-5-21-3391024131-566000767-83427015-1001_Classes\CLSID\{1E5724EA-3423-4BD3-ABD6-46E650D2DC66} /s CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Poza tym, jest dużo wpisów CustomCLSID z odczytem "brak pliku" od zainstalowanych aplikacji Autodesk. Podejrzewam tu fałszywy alarm FRST. Zrób więc jeszcze szukanie w FRST. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj plików. Dostarcz wynikowy log. axdb.dll;AcETransmit.dll

Ten obrazek jest strasznie mały i nic nie widzę. Pro forma podmień załącznik. Z raportów jest wiadomo co się dzieje. W Google Chrome został zainstalowany przemocą EasyCalendar, który produkuje reklamy. Prócz tego są różne inne odpadki adware oraz wpisy puste którymi się zajmę. Akcje do wdrożenia: 1. Przez Panel sterowania odinstaluj: stare wersje Java 7 Update 71, Mozilla Firefox 35.0 (x86 pl), Mozilla Maintenance Service, program posługujący się platformą monetyzacji OpenCandy SnapPea oraz wątpliwy skaner SpyHunter. Doczyszczanie po zainfekowanym Firefox będzie w poniższym skrypcie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-612798577-3822474249-2596022128-1000\...\MountPoints2: {4722c330-632f-11e3-8083-00221589ebbb} - F:\Startme.exe BootExecute: autocheck autochk * bootdelete S2 Crypkey License; crypserv.exe [X] S1 NetworkX; \SystemRoot\system32\ckldrv.sys [X] Task: {095AE438-701D-42ED-BB75-F58D51C4F555} - System32\Tasks\{12F4263F-55F3-42DA-9E90-A62938227B3B} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe Task: {1C588E06-9820-4ADC-A334-6BCAC4EA9420} - System32\Tasks\{1438124C-7BCF-4FF7-843C-2EA448D73A34} => pcalua.exe -a "E:\Torrenty\Ukończone\PROGRAMY\ACDSee\ACDSee\ACDSee\sPoLszczenie ACDSee Pro 3.0.475.PAWJ-ShK.exe" -d E:\Torrenty\Ukończone\PROGRAMY\ACDSee\ACDSee\ACDSee Task: {1EFC9D87-5FD1-49D1-A4D0-72061EAEC302} - System32\Tasks\EDWdrvBC7nxHAK6nkILwXTK => C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK.exe Task: {24013FEA-BC3D-4A89-B666-8B1F65D60F39} - System32\Tasks\{D456FA87-8349-4611-A028-B384936FEE7F} => H:\setup.exe Task: {4A0E5B4B-7D45-41CE-B4D3-16E38A958AE7} - System32\Tasks\{FEBACA02-ADF1-4A19-A21C-7162D0E89545} => pcalua.exe -a E:\Pobrane\mp210swin101ea24.exe -d E:\Pobrane Task: {5F445052-B07D-453A-BB79-59B99D819B24} - System32\Tasks\RNfYTxh => C:\Users\nostra\AppData\Roaming\RNfYTxh.exe Task: {70B44171-B880-4C28-A299-7CA05E5115C8} - System32\Tasks\{A918531F-9FE0-4549-9DC3-0572FE17AE98} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe Task: {73FAB1C7-2B0D-436A-A132-E8FFB9B6F262} - System32\Tasks\{FED5604B-CFD8-4B18-BE13-6D55F2AD97A2} => pcalua.exe -a E:\Pobrane\mp210swin64101ea24.exe -d E:\Pobrane Task: {99EEEDEC-1B9F-4774-BB49-95569C1EB399} - System32\Tasks\{19F33986-5307-44AD-A2BD-6F6D8189439B} => pcalua.exe -a H:\setup.exe -d H:\ -c /autorun Task: {9CC011FA-37A5-4654-8B31-BA4FD6A09368} - System32\Tasks\{F736E8F6-0B04-4201-ABBD-564C95F95AA7} => pcalua.exe -a E:\Pobrane\samurize_1.64.3_2.exe -d E:\Pobrane Task: {B55606C1-03E2-4028-9D36-77B3D3493FF9} - System32\Tasks\{4A4037BE-58CF-4E23-8906-A65889D19609} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe Task: {D3C76578-422F-4BEC-824C-F77E85F35FC0} - System32\Tasks\{903791A1-7891-48D5-903B-C4B1A0EB62FB} => pcalua.exe -a E:\Pobrane\10-2_legacy_vista32-64_dd_ccc.exe -d E:\Pobrane Task: {FC848E6E-EE5A-4873-B62D-A0091A056EE0} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Brak pliku Task: C:\Windows\Tasks\EDWdrvBC7nxHAK6nkILwXTK.job => C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK.exe Task: C:\Windows\Tasks\RNfYTxh.job => C:\Users\nostra\AppData\Roaming\RNfYTxh.exe C:\Program Files (x86)\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gmail Notifier C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ophcrack C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung\Samsung Story Album Viewer\Samsung Story Album Viewer.lnk C:\Users\nostra\AppData\Local\Temp*.html C:\Users\nostra\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\nostra\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\nostra\AppData\Local\Mozilla C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK C:\Users\nostra\AppData\Roaming\RNfYTxh C:\Users\nostra\AppData\Roaming\Mozilla C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Samsung Story Album Viewer.lnk C:\Users\nostra\Desktop\Continue Avidemux installation.lnk C:\Users\Public\Desktop\ophcrack.lnk C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\pss\Client Default.lnk.Startup C:\Windows\pss\wandoujia_helper.lnk.Startup C:\Windows\system32\Drivers\TrueSight.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^nostra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Client Default.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^nostra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^wandoujia_helper.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ToolbarTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xwidget" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj stary Ultimate YouTube Downloader. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\nostra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

AdwCleaner znalazł dużo szczątków adware. Uruchom program ponownie. Tym razem wybierz kombinację opcji Skanuj + Usuń i dostarcz wynikowy log z usuwania.

Wszystko pomyślnie zrobione, widać już prawidłowe adresy DNS. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Profile 1 CMD: del /q C:\Users\Sigon\Downloads\z4cfbo9b.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E3972092-C2EA-46AE-AC2E-C8D41F362280}" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Końcowe poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\distromatic DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\istartsurf.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\sweet-page.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\v9.com DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\(HKLM) OperaStable DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\dom\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\dom\Downloads\9uo0ls8e.exe CMD: del /q C:\Users\dom\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Operacje przeprowadzone pomyślnie. Poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {0979839E-0076-40D6-B579-5CEAE38D8604} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files (x86)\Lenovo C:\Users\dom\REACHit C:\Users\dom\AppData\Local\Lenovo C:\Windows\System32\Tasks\Lenovo Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nie wiem o co chodzi, ale plik Dziennika TuneUp (mimo że był odblokowany) stoi jak przyklejony. Na razie go pomijam. Foldery przestały się pokazywać, bo je usunęłam, ale to wcale nie znaczy że się nie utworzą nowe tego rodzaju. One wyglądają na pochodną nieudanych instalacji programów opartych na Instalatorze Windows, a problemem podskórnym może być brak uprawnień w którymś miejscu. Logi są bardzo ograniczone, zrobiłam tylko sprawdzanie na wyrywki kilku miejsc. Nadal różne foldery w root dysku C mają niedomyślne uprawnienia, a RECYCLER (czyli Kosz), który był w całości usuwany czyli i folder regenerował się od zera, ma je całkowicie wymazane, stąd pewnie ten problem ze zszarzoną opcją. Pozostaje także problem z pustym plikiem Shortcut.txt. Kolejne podejście: 1. Pobierz XCACLS. W dialogu nakieruj na instalację w folderze C:\Windows. 2. Skrypt do FRST: CMD: xcacls.vbs C:\ /O Administratorzy /F /T /E CMD: xcacls.vbs C:\ /G Administratorzy:F /F /T /E CMD: xcacls.vbs C:\ /G SYSTEM:F /F /T /E CMD: xcacls.vbs C:\ /G Użytkownicy:X /F /T /E CMD: xcacls.vbs C:\ /P Wszyscy:X /F /T /E ListPermissions: C:\ ListPermissions: C:\Config.Msi ListPermissions: C:\Documents and Settings ListPermissions: C:\Program Files ListPermissions: C:\RECYCLER ListPermissions: C:\System Volume Information ListPermissions: C:\WINDOWS ListPermissions: C:\WINDOWS\system32\config\TuneUp.evt Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s

Koniec zmagań. Skasuj folder C:\Users\user\Downloads\gmer z FRST i jego logami. Następnie popraw jeszcze za pomocą DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Reader: KLIK.

Jak powyżej zaznaczyłam, zmieniona nazwa to tylko powierzchowny znak, że pliki są zamienione zaszyfrowanymi ekwiwalentami. Zmiana nazwy nic kompletnie nie wskóra.

Nazwy logów FRST wskazują, że je wyciągnąłeś z folderu C:\FRST\Logs. To jest archiwum logów. Bieżące powstają zawsze tam skąd uruchomiono FRST, czyli w tym przypadku C:\Users\dom\Downloads. Raport mówi, że infekcję nabyłeś z portalu dobreprogramy.pl podczas pobierania "Media Player Classic", uruchamiając świński "Asystent pobierania" tego portalu. Więcej na ten temat: KLIK. Widać nadal niepożądane instalacje w systemie (m.in. Lenovo REACHit), zainfekowany Firefox oraz zmodyfikowane skróty LNK przeglądarek (mają dopisaną stonę istartsurf). Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj REACHit. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\aWMiniProa\WMiniPro.exe [301704 2015-11-09] (DTools LIMITED) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\7ron4s7c.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\7ron4s7c.default\extensions\deskCutv2@gmail.com HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-842412909-2400916400-2872321181-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstall C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\aWMiniProa C:\Users\dom\AppData\Roaming\istartsurf C:\Users\dom\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Wszystko zrobione. Jeszcze drobniutka poprawka na dwa foldery Lenovo, jeden jest pusty, a drugi zawiera tylko szczątki odinstalowanego REACHit. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Users\user\AppData\Local\Lenovo Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Prawie wszystko zrobione, ale znów stawił opór jeden z odpadkowych Dzienników zdarzeń, tym razem od TuneUp. Poza tym, jeszcze mamy do usunięcia foldery które były poza widocznością raportu FRST. Kolejna para Fixlist do zastosowania z poziomu Trybu awaryjnego, po każdym restart komputera: RemoveDirectory: C:\_024687_ RemoveDirectory: C:\_286828_ RemoveDirectory: C:\_310359_ RemoveDirectory: C:\_357343_ RemoveDirectory: C:\_376312_ RemoveDirectory: C:\_479250_ RemoveDirectory: C:\_527812_ RemoveDirectory: C:\_579343_ RemoveDirectory: C:\_762843_ RemoveDirectory: C:\_817718_ RemoveDirectory: C:\_881406_ RemoveDirectory: C:\_906812_ RemoveDirectory: C:\_948375_ RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\MSI240cf.tmp RemoveDirectory: C:\MSI240d6.tmp RemoveDirectory: C:\MSI240df.tmp RemoveDirectory: C:\MSI240e9.tmp RemoveDirectory: C:\MSI240ef.tmp RemoveDirectory: C:\MSI240f4.tmp RemoveDirectory: C:\MSI240fe.tmp RemoveDirectory: C:\MSI2410b.tmp RemoveDirectory: C:\MSI2411e.tmp RemoveDirectory: C:\MSI2412a.tmp RemoveDirectory: C:\MSI2413b.tmp RemoveDirectory: C:\MSI24142.tmp RemoveDirectory: C:\MSI24149.tmp RemoveDirectory: C:\MSI24156.tmp RemoveDirectory: C:\MSI2415c.tmp RemoveDirectory: C:\MSI24163.tmp RemoveDirectory: C:\MSI2416a.tmp RemoveDirectory: C:\MSI24170.tmp ListPermissions: C:\ ListPermissions: C:\Config.Msi ListPermissions: C:\RECYCLER ListPermissions: C:\System Volume Information CMD: dir /a C:\ CMD: sc config Eventlog start= disabled + C:\WINDOWS\system32\config\TuneUp.evt CMD: sc config Eventlog start= auto

Fixlist musi ukończyć pracę, by reset miał sens. FRST wykłada się na komendzie Unlock C:\. Na razie to opuść ograniczając Fixlist do tej postaci: Hosts: RemoveDirectory: C:\11be7b36-b8bb-4741-8589-f35d8f1c86df RemoveDirectory: C:\43bf5f03-3db5-4b41-bcb7-f16c39d03c56 RemoveDirectory: C:\bd19c747-0b9a-4ab4-acbd-34e2aa87633e RemoveDirectory: C:\$AVG RemoveDirectory: C:\AVG_BFEfix RemoveDirectory: C:\AVG_SysInfo RemoveDirectory: C:\Dbz0A5CD RemoveDirectory: C:\Dbz70C5E RemoveDirectory: C:\MATS RemoveDirectory: C:\MSIa6ea7.tmp RemoveDirectory: C:\MSI6e240.tmp RemoveDirectory: C:\MSI7321e.tmp RemoveDirectory: C:\MSI7321c.tmp RemoveDirectory: C:\MSI7321a.tmp RemoveDirectory: C:\MSI4f3d3.tmp RemoveDirectory: C:\MSI1e1e9.tmp RemoveDirectory: C:\MSI1e1e7.tmp RemoveDirectory: C:\MSI1e1e5.tmp RemoveDirectory: C:\MSI197e5.tmp RemoveDirectory: C:\MSI799ad.tmp RemoveDirectory: C:\MSI799a7.tmp RemoveDirectory: C:\MSI799a1.tmp RemoveDirectory: C:\MSI7998f.tmp RemoveDirectory: C:\MSIa4b17.tmp RemoveDirectory: C:\MSIa4b15.tmp RemoveDirectory: C:\MSIa4b13.tmp RemoveDirectory: C:\MSIa026b.tmp RemoveDirectory: C:\MSId29a5.tmp RemoveDirectory: C:\MSIab77c.tmp RemoveDirectory: C:\MSIab77a.tmp RemoveDirectory: C:\MSIab778.tmp RemoveDirectory: C:\MSIa78c2.tmp RemoveDirectory: C:\MSI64a5e.tmp RemoveDirectory: C:\MSI64a5c.tmp RemoveDirectory: C:\MSI64a5a.tmp RemoveDirectory: C:\MSI3be87.tmp RemoveDirectory: C:\MSI3be78.tmp RemoveDirectory: C:\MSI3fe6a.tmp RemoveDirectory: C:\MSI3fe68.tmp RemoveDirectory: C:\MSI3fe66.tmp RemoveDirectory: C:\MSI8f1b.tmp RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: dir /a C:\ CMD: sc config Eventlog start= disabled Jest możliwe, że FRST znów wypluje jakiś błąd przy którejś z komend RemoveDirectory (obchodzi problem uprawnień).