picasso

Temat przenoszę do działu Windows. Nie ma oznak infekcji. vs. ==================== Punkty Przywracania systemu ========================= 25-09-2015 23:56:39 Zainstalowany program DirectX 28-09-2015 17:14:51 Zainstalowane Call of Duty® - World at War™ 02-10-2015 20:25:17 Usunięte Call of Duty® 2 06-10-2015 18:05:27 Windows Update 14-10-2015 18:45:47 Installed XSplit Gamecaster 15-10-2015 20:33:06 Zainstalowany program DirectX Użyj Przywracania systemu, wykorzystując jeden z punktów widocznych powyżej, do czasu sprzed instalacji nVidia. Po wykonaniu Przywracania systemu, o ile problem Kosza nadal będzie występował, usuń go za pomocą FRST. Przy okazji też odpadki po odinstalowanym pakiecie AV od McAfee. Otwórz Notatnik i wklej w nim: S4 0151381435399861mcinstcleanup; C:\WINDOWS\TEMP\015138~1.EXE [883024 2015-05-04] (McAfee, Inc.) S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [uSB Gamepad] => C:\WINDOWS\USB Vibration\dr100&110\USB Gamepad.exe -boot Winlogon\Notify\igfxcui: igfxdev.dll [X] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" RemoveDirectory: C:\$RECYCLE.BIN EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Pokaż wynikowy fixlog.txt.

- Być może to była wyszukiwarka ustawiona jako domyślna. Domyślnej przeglądarki nie da się usunąć, o ile nie zostanie dobrana jako domyślna inna wyszukiwarka. - Zanik RealDownloader prawdopodobnie wynikał z usunięcia skryptem FRST powiązanego wejścia rejestru. Logi Shortcut nie były potrzebne ponownie, więc je usuwam. Wszystko pomyślnie przetworzone. Drobne poprawki zostały do wdrożenia: Na koncie Anka: 1. Obecnie brak zdefiniowanej domyślnej przeglądarki. Ustaw dowolną jako domyślną. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 3. Otwórz Notatnik i wklej w nim: BHO-x32: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll => No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {26E8287C-2B2C-4C5B-8A9C-976E087C1B63} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Users\Anka\AppData\Local\Google RemoveDirectory: C:\Users\Anka\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na koncie skaner: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1293323331-2248878722-2786800865-1003\...\Run: [swg] => "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" Toolbar: HKU\S-1-5-21-1293323331-2248878722-2786800865-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie podałeś pliku fixlog.txt z wynikami przetwarzania skryptu. Ale to już w sumie możemy sobie darować, bo widzę pożądane zmiany w głównym logu FRST odpowiadające przeprowadzonym działaniom. Akcje pomyślnie przeprowadzone. Obecnie bieżące serwery DNS są od Google, ale nie zaktualizowały się dwa wejścia należące do innych interfejsów sieciowych: DNS Servers: 8.8.8.8 - 8.8.4.4 Tcpip\..\Interfaces\{21daf7b0-d9dc-46d5-8e9a-ba87fd2d7821}: [DhcpNameServer] 40.40.1.201 40.40.1.203 Tcpip\..\Interfaces\{6878ada7-258c-4883-9604-0435e87e029e}: [DhcpNameServer] 37.233.102.96 8.8.8.8 Tcpip\..\Interfaces\{c9119056-e5ea-4eac-a723-3c1660eff7cb}: [DhcpNameServer] 8.8.8.8 8.8.4.4 W związku z tym zostanie wymuszone ich usunięcie (aktualizacja). Otwórz Notatnik i wklej w nim: Tcpip\..\Interfaces\{21daf7b0-d9dc-46d5-8e9a-ba87fd2d7821}: [DhcpNameServer] 40.40.1.201 40.40.1.203 Tcpip\..\Interfaces\{6878ada7-258c-4883-9604-0435e87e029e}: [DhcpNameServer] 37.233.102.96 8.8.8.8 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Dostarcz rozszerzony raport FRST. Uruchom ponownie FRST, zaznacz opcję Lista BCD i zrób skan.

Jest tu wiele problemów w systemie: - Problem z urządzeniami przenośnymi generuje aktywna infekcja w systemie - w starcie figuruje szkodliwy wpis ysmut. - Są tu ślady szyfrowania danych - na dysku widać kilka wystąpień plików o rozszerzeniu xtbl. Podobny temat na forum: KLIK. - Adware/PUP: Obecnie w systemie działa niepożądany program Smart File Advisor, który wszedł z instalacją Alcohol. Jest to instalacja wiązana, tzn. podczas instalacji nie można tego odznaczyć, a przy deinstalacji jest usuwany też Alcohol. Na przyszłość: Alcohol instaluj przy niepołączonej sieci, co uniemożliwi instalację tego śmiecia. Są również widoczne różne odpadki po uprzednio niepoprawnie usuniętych instalacjach adware. - Fatalny stan zabezpieczeń, nieaktualizowany Windows (brak SP1 i reszty). Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje i zbędne programy: Adobe Flash Player 10 ActiveX, HP Deskjet 2510 series — badanie mające na celu poprawę produktów, Secure Download Manager, Smart File Advisor (to usunie też Alcohol), Surfing Protection. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis adware globalupdate Helper > Dalej. 2. Zakładam, że pendrivy są podpięte i widoczne pod tymi samymi literami G:, I:. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1767114643-583189397-3206445415-1001\...\Run: [ysmut] => C:\Users\Rafal\ysmut.exe [52736 2015-10-16] () Task: {17AD6DBF-CBFE-4206-B739-032140961514} - System32\Tasks\ASUS\TurboVHelp => C:\Program Files (x86)\ASUS\TurboV EVO\TurboVHELP.exe Task: {407EA084-6798-4D7D-B7FF-6B8F7338ED4D} - \WordWizard Auto Updater 1.10.0.24 Pending Update -> Brak pliku Task: {43496024-FBCD-49CA-B749-884808E3200D} - System32\Tasks\PGAWM1 => C:\ProgramData\SecurityUtility\SecurityUtility.exe Task: {58B4B69F-D3BE-4A48-A349-776AE50347EC} - System32\Tasks\LNuM2lmNYNesJmfGfMYeN2gbX => C:\Users\Rafal\AppData\Roaming\LNuM2lmNYNesJmfGfMYeN2gbX.exe Task: {660DCA87-95A0-44FD-99EE-14F11BC24737} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Rafal) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: {6BD6B03A-304B-4822-8BC2-608EB946A17D} - \WordWizard Auto Updater 1.10.0.24 Core -> Brak pliku Task: {8267B600-C231-4CAA-82D1-C4E0171B7272} - \SmartWeb Upgrade Trigger Task -> Brak pliku Task: {B9FD1F99-E20E-4BEF-A165-C2B15900A3DB} - System32\Tasks\8yQR6QyEJVC21JTh1fRU => C:\Users\Rafal\AppData\Roaming\8yQR6QyEJVC21JTh1fRU.exe Task: {BD10B211-8F8A-4A5E-AD9B-9FAE3757333C} - System32\Tasks\Uninstaller_SkipUac_Rafal => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: C:\Windows\Tasks\8yQR6QyEJVC21JTh1fRU.job => C:\Users\Rafal\AppData\Roaming\8yQR6QyEJVC21JTh1fRU.exe Task: C:\Windows\Tasks\LNuM2lmNYNesJmfGfMYeN2gbX.job => C:\Users\Rafal\AppData\Roaming\LNuM2lmNYNesJmfGfMYeN2gbX.exe Task: C:\Windows\Tasks\PGAWM1.job => C:\ProgramData\SecurityUtility\SecurityUtility.exe Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - Rafal).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16056 2015-08-25] (SlimWare Utilities, Inc.) S3 dump_wmimmc; \??\D:\Gry\GameforgeLive\Games\POL_pol\Metin2\GameGuard\dump_wmimmc.sys [X] GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => Brak pliku AlternateDataStreams: C:\ProgramData:gs5sys AlternateDataStreams: C:\Users\All Users:gs5sys AlternateDataStreams: C:\Users\Rafal:gs5sys AlternateDataStreams: C:\ProgramData\Application Data:gs5sys AlternateDataStreams: C:\ProgramData\Dane aplikacji:gs5sys AlternateDataStreams: C:\ProgramData\TEMP:E965A533 AlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys AlternateDataStreams: C:\Users\Rafal\Cookies:gs5sys AlternateDataStreams: C:\Users\Rafal\Dane aplikacji:gs5sys AlternateDataStreams: C:\Users\Rafal\Szablony:gs5sys AlternateDataStreams: C:\Users\Rafal\Ustawienia lokalne:gs5sys AlternateDataStreams: C:\Users\Rafal\Desktop\desktop.ini:gs5sys AlternateDataStreams: C:\Users\Rafal\AppData\Local:gs5sys AlternateDataStreams: C:\Users\Rafal\AppData\Roaming:gs5sys AlternateDataStreams: C:\Users\Rafal\AppData\Local\Dane aplikacji:gs5sys AlternateDataStreams: C:\Users\Rafal\AppData\Local\Historia:gs5sys AlternateDataStreams: C:\Users\Rafal\Documents\desktop.ini:gs5sys C:\Program Files (x86)\*.exe C:\Program Files (x86)\Opera C:\Program Files (x86)\predm C:\Program Files (x86)\AMD APP\htpatch.exe C:\Program Files (x86)\AMD APP\lucoms.exe C:\Program Files (x86)\AMD AVT\bin\agent.exe C:\Program Files (x86)\AMD AVT\bin\file.exe C:\Program Files (x86)\AMD APP\bin\pdvddxsrv.exe C:\Program Files (x86)\AMD AVT\bin\unpack.exe C:\Program Files (x86)\AMD APP\bin\x86_64\file.exe C:\Program Files (x86)\AMD APP\bin\x86_64\jucheck.exe C:\Program Files (x86)\AMD APP\bin\x86_64\lucoms.exe C:\Program Files (x86)\AMD APP\bin\x86_64\nvxdsync.exe C:\Program Files (x86)\AMD APP\bin\x86_64\run.exe C:\Program Files (x86)\AMD APP\bin\x86_64\winlogon.exe C:\Program Files (x86)\AMD APP\bin\x86_64\wisptis.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\jucheck.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\launch.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\lucoms.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\winlogon.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\wisptis.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\avguard.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\hkcr.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\jucheck.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\unpack.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\setup.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\winlogon.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\unpack.exe C:\Program Files (x86)\ASUS\IO\download.exe C:\Program Files (x86)\Google\Update\1.3.28.15\jucheck.exe C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\file.exe C:\Program Files (x86)\IObit\Advanced SystemCare 8\launch.exe C:\Program Files (x86)\IObit\Driver Booster\convert.exe C:\Program Files (x86)\IObit\Driver Booster\hkcr.exe C:\Program Files (x86)\IObit\Driver Booster\iexplore.exe C:\Program Files (x86)\IObit\Driver Booster\jucheck.exe C:\Program Files (x86)\IObit\Driver Booster\wisptis.exe C:\Program Files (x86)\IObit\Driver Booster\unpack.exe C:\Program Files (x86)\IObit\IObit Uninstaller C:\Program Files (x86)\Java\jre1.8.0_60\bin\jucheck.exe C:\Program Files (x86)\Java\jre1.8.0_60\bin\lucoms.exe C:\Program Files (x86)\Common Files\Java\Java Update\convert.exe C:\Program Files (x86)\Common Files\Java\Java Update\iexplore.exe C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe C:\Program Files (x86)\Common Files\Java\Java Update\winlogon.exe C:\Program Files (x86)\Common Files\Java\Java Update\wisptis.exe C:\Program Files (x86)\Common Files\microsoft shared\DW\klwtblfs.exe C:\Program Files (x86)\Common Files\microsoft shared\OFFICE11\zcfgsvc.exe C:\Program Files (x86)\Common Files\System\MSMAPI\1033\jucheck.exe C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} C:\ProgramData\Application Hosting C:\ProgramData\TEMP C:\ProgramData\update C:\ProgramData\Windows C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\pQube C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\Users\Rafal\*.exe C:\Users\Rafal\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Rafal\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Rafal\AppData\Local\file__0.localstorage C:\Users\Rafal\AppData\Local\Amvworks C:\Users\Rafal\AppData\Local\globalUpdate C:\Users\Rafal\AppData\Roaming\404C9F2C404C9F2C.bmp C:\Users\Rafal\AppData\Roaming\8yQR6QyEJVC21JTh1fRU C:\Users\Rafal\AppData\Roaming\data13.dat C:\Users\Rafal\AppData\Roaming\LNuM2lmNYNesJmfGfMYeN2gbX C:\Users\Rafal\AppData\Roaming\ssleas.exe C:\Users\Rafal\AppData\Roaming\Thumbs.db C:\Users\Rafal\AppData\Roaming\cpuminer C:\Users\Rafal\Desktop\PROGRAMY\IObit Uninstaller.lnk C:\Windows\convert.exe C:\Windows\hkcr.exe C:\Windows\launch.exe C:\Windows\lucoms.exe C:\Windows\winlogon.exe C:\Windows\wisptis.exe C:\Windows\system32\Drivers\3AED24A4.sys C:\Windows\system32\Drivers\44AA5DF5.sys C:\Windows\system32\Drivers\7DE86B1D.sys C:\Windows\System32\Drivers\SWDUMon.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 G:\*.exe G:\*.lnk G:\*.scr G:\autorun.inf I:\*.exe I:\*.lnk I:\*.scr I:\autorun.inf RemoveDirectory: G:\RECYCLER Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\*.xtbl /s CMD: del /q /s C:\*.xtbl EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres www.mystartsearch.com, przestaw na "Otwórz stronę nowej karty" Ustaw wybraną przeglądarkę jako domyślną. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan) (zaznacz ponownie pole Addition, by powstały dwa logi) oraz USBFix z opcji Listing przy podpiętych obu pendrivach. Dołącz też plik fixlog.txt. Plik ten może być ogromny, gdyż została załączona komenda rekursywnego usuwania plików *.xtlb z całego dysku. W razie gdyby się nie zmieścił, spakuj do ZIp i shostuj gdzieś podając link.

Fix FRST pomyślnie wykonany. Zastosuj narzędzie DelFix. To tyle.

Fix FRST wykonany i jak przewidywałam, infekcje nie są tu problemem. + Pytaniem jest co się pokazuje, gdy próbujesz wybrać tryb normalny: pętla powrotu do menu startowych, BSOD (jaki?), inne (jakie?)?

Sądzę, że to dokładnie to co było usuwane za pomocą FRST i jest tu referencja do procesu rundll32. Zresztą w GMER też widać było niepokojące instancje tego procesu systemowego. Tak mi się właśnie wydawało na podstawie raportu. Log FRST pokazywał, że w bliskim przedziale czasowym był instalowany EPLAN, a po tym powstały obiekty infekcji (w domyślne: w przerwie "kombinowałeś"). Oczywiście definitywnie crack usuń, o ile nadal jest na dysku. 2015-10-06 22:05 - 2015-10-14 15:01 - 00000308 _____ C:\Windows\Tasks\AQIT.job 2015-10-06 22:05 - 2015-10-06 22:05 - 00229376 __RSH C:\Windows\SysWOW64\MFC71CHTQ.dll 2015-10-06 22:05 - 2015-10-06 22:05 - 00002588 _____ C:\Windows\System32\Tasks\AQIT 2015-10-06 21:30 - 2015-10-06 21:30 - 00002087 _____ C:\Users\Public\Desktop\EPLAN Education 2.4 (x64).lnk 2015-10-06 21:30 - 2015-10-06 21:30 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EPLAN Zadanie usuwające pomyślnie wykonane. Zostały inne korekty. Log z Farbar Service Scanner wykazuje, że są wyłączone dwie usługi Windows (Centrum zabepieczeń + Windows Defender) oraz została skasowana ikona Centrum zabezpieczeń z zasobnika. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] C:\Users\Artur\Documents\Studia\III semestr\elektra\PCSX2 0.9.8 (r4600).lnk C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Install Logic Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f CMD: sc config WinDefend start= demand CMD: sc config wscsvc start= delayed-auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Zrób nowy log z Farbar Service Scanner. Dołącz też plik fixlog.txt.

Proszę dostosuj się do zasad działu jakie logi są tu obowiązkowe: KLIK. Obowiązkowe są logi z FRST i GMER. Logi z archaicznego OTL nie są w ogóle brane pod uwagę. Dodatkowo, skoro problem tyczy też pendrivów, zrób ekstra log z USBFix z opcji Listing przy podpiętych wszystkich pendrivach.

Poczekaj, aż Fix (jednorazowego użytku) ukończy działanie, nie przerywaj go "na chama". Po ukończeniu operacji zajmij się ponownie routerem. Na koniec nowe logi FRST.

Brak zmiany hasła oznacza, że infekcja wróci i to może się stać zanim dokończysz "Fix"... Poza tym, niezależnie od czyszczenia i tak może być wymagana aktualizacja firmware. Był przypadek tu na forum z podobnym modelem TP-Link, czyszczenie i poprawna konfiguracja zabezpieczeń nic nie dały, infekcja i tak zaatakowała router ponownie.

vs. ==================== Dyski ================================ Drive c: () (Fixed) (Total:99.56 GB) (Free:38.46 GB) NTFS Drive e: () (Fixed) (Total:831.17 GB) (Free:527.81 GB) NTFS ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: D9FA2484) Partition 1: (Active) - (Size=350 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=99.6 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=450 MB) - (Type=27) Partition 4: (Not Active) - (Size=831.2 GB) - (Type=07 NTFS) Przywracanie systemu jest ustawiane względem partycji a nie całości dysku. Dysk fizyczny duży, ale partycja C jest mała. Tak, 100GB to już "za mało" - u mnie przy tym progu Windows 10 zdecydował, że Przywracanie będzie wyłączone. Nie jestem pewna, ale wydaje mi się, że progiem przy którym Przywracanie jest deaktywowane na Windows 10 jest

TP-LINK TD-W8961ND to jeden ze słabo zabezpieczonych modeli. Dokładne operacje rozpisane w oficjalnych artykułach: Jak sprawdzić czy router ADSL firmy TP-LINK jest zabezpieczony przed dostępem niepowołanych osób od strony Internetu Może być również konieczna aktualizacja firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Firmware dla TD-W8961ND Masz do wyboru kilka serii firmware: V Numer. Porównujesz z naklejką na swoim urządzeniu i ustawiasz korespondujący link pobierania.

Oczywiście kont założonych tylko w celu diagostyki problemu nie ma sensu analizować. Usuń to konto przed przejściem do dalszych czynności. I jeśli konto "skaner" to coś w podobnym stylu, również do likwidacji. PS. I już nie aktualizuj posta powyżej tylko odpowiedz w nowym poniżej.

Obecnie w systemie głównie odpadki adware, choć niektóre nadal aktywne (usługa IhPul, Strong Signal w Firefox, polityki Google Chrome). Poza tym, odinstalowany Real Player nadal jest widoczny w niektórych miejscach. Do przeprowadzenia następujące akcje: 1. Odinstaluj bardzo starą wersję Java™ 6 Update 14, o ile to nie jest jakiś uszkodzony wpis. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Anka\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S1 yvupsowa; \??\C:\windows\system32\drivers\yvupsowa.sys [X] HKLM\...\Run: [] => [X] AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction CHR HKLM-x32\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2012-05-31] FF Plugin-x32: @real.com/nprpchromebrowserrecordext;version=15.0.4.53 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll [2012-05-31] (RealNetworks, Inc.) FF Plugin-x32: @real.com/nprphtml5videoshim;version=15.0.4.53 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll [2012-05-31] (RealNetworks, Inc.) FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext => not found FF HKLM-x32\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1293323331-2248878722-2786800865-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-1293323331-2248878722-2786800865-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {045B1CFA-948E-4404-972B-1C6E24002316} - \AdobeFlashPlayerUpdate 2 -> No File Task: {1B7C2DC9-FA9E-4F81-A977-98E39C30282E} - \Digital Sites -> No File Task: {2CD3B141-8C8E-4A86-A6BA-1885D68BD990} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {50F0318F-050C-472D-A634-E977276397BA} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {5C701DC2-27DB-4014-B5FC-C6D7E7011FE8} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {717F2BC1-1952-49BD-8F35-D64400F0EC30} - \EPUpdater -> No File Task: {7AF55485-618E-4FAC-84AE-1369F6589D6C} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2\upgrade.exe [2015-09-09] (ESET) Task: {8070672E-1EAA-4C4F-BA4F-6798CDF464A2} - System32\Tasks\DSite => C:\Users\Anka\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {8ED6477D-F491-43C9-955C-FC3017D8145C} - System32\Tasks\{8D2F4E4B-F84A-4720-876D-AA0C27EEF9D1} => pcalua.exe -a "C:\Users\Anka\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AB8X7P0E\sa2ara04k_02_psb_pol.exe" -d C:\Users\Anka\Desktop Task: {B513EAA4-8F86-4B84-A0B7-7E86E35D8830} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {B5CEB13E-7DC8-4F83-A007-88E55EFD48EC} - \AdobeFlashPlayerUpdate -> No File Task: {BEE5FB7E-40E9-41EA-8CFA-4F4646E6ACF2} - System32\Tasks\{8AB905BF-733D-4F7F-B288-4BC343C9EE1A} => Firefox.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {EA08777B-76B7-4E4A-87B0-28DBD7AF1265} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1293323331-2248878722-2786800865-1001 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: C:\windows\Tasks\DSite.job => C:\Users\Anka\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\Real C:\Program Files (x86)\SFK C:\Program Files (x86)\WinZipper C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2 C:\ProgramData\Real C:\Users\A takie tam\AppData\Roaming\Real C:\Users\Anka\FLVPlayer C:\Users\Anka\AppData\Local\bdraw C:\Users\Anka\AppData\Local\screenSHU C:\Users\Anka\AppData\Roaming\MailUpdate C:\Users\Anka\AppData\Roaming\Real C:\Users\Anka\AppData\Roaming\StPrsSW C:\Users\Anka\AppData\Roaming\TSv C:\Users\Anka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\22find.lnk C:\Users\Anka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\Anka\Desktop\FLV Player.lnk C:\Users\skaner\Desktop\Yetisports Arctic Adventures.lnk C:\windows\SysWOW64\pl.html HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\13374173.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\13374173.sys => ""="Driver" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\FLV Player" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\bdraw" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PhilipsSongbirdLauncher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screenSHU" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Strong Signal" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {25DD98A4-32EE-496D-A121-AC92C551279D} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {25DD98A4-32EE-496D-A121-AC92C551279D} /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj odpadkowy RealDownloader Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie niedomyślne wyszukiwarki z wyjątkiem Google. 4. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. W systemie są aż trzy konta: ==================== Accounts: ============================= A takie tam (S-1-5-21-1293323331-2248878722-2786800865-1004 - Administrator - Enabled) => C:\Users\A takie tam Anka (S-1-5-21-1293323331-2248878722-2786800865-1001 - Administrator - Enabled) => C:\Users\Anka skaner (S-1-5-21-1293323331-2248878722-2786800865-1003 - Limited - Enabled) => C:\Users\skaner Należy sprawdzić każde konto z osobna. Zaloguj się na każde konto po kolei poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika, na każdym zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition. Czyli mają powstać po dwa logi na każde konto. Na koncie limitowanym skaner uruchom FRST przez dwuklik a nie opcję Uruchom jako administrator (to zmieni kontekst konta). Dołącz też plik fixlog.txt. I wypowiedz się dokładnie czy zarówno w Firefox, jak i Google Chrome nie ma już problemu. Jeśli Chrome nadal będzie szwankować, niezbędna będzie reinstalacja przeglądarki.

Reklamy na komputerze i telefonie - wiele urządzeń dziedziczy ustawienie, więc to infekcja routera. W raporcie FRST widać infekcję, bieżący hijack rumuńskim DNS, ale inne adresy też wyglądają na infekcję: KLIK / KLIK / KLIK. DNS Servers: 109.163.232.183 - 8.8.8.8 Tcpip\..\Interfaces\{c9119056-e5ea-4eac-a723-3c1660eff7cb}: [DhcpNameServer] 109.163.232.183 8.8.8.8 Tcpip\..\Interfaces\{21daf7b0-d9dc-46d5-8e9a-ba87fd2d7821}: [DhcpNameServer] 40.40.1.201 40.40.1.203 Tcpip\..\Interfaces\{6878ada7-258c-4883-9604-0435e87e029e}: [DhcpNameServer] 37.233.102.96 8.8.8.8 Akcje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Działania dodatkowe (usunięcie wpisów odpadkowych, etc). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {03D9C785-F8A9-4DD9-B2E0-941897E68DFA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1A43FB67-F2B4-4741-8D50-4B0D78832837} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {3CAB65A6-7A15-4859-9420-414EE6016327} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {88D39EA5-E3C4-4BF7-ACEB-E03C65F445C1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {8DFE7778-C9C2-4AFB-9F08-EA36DE8AFB5E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {96220206-4A8F-490A-8F90-95EAF1091A16} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - jakub_000) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: {9D874C04-0060-48FC-AD1F-9B091D46184A} - System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent Task: {AAB43B31-1253-4958-886D-3733CEFF3794} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {D7F8A52C-F32A-494F-8F9B-D88134AD5673} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {DF919F18-9F97-4EDE-A320-9562AF2348B5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {EE3D74BB-8C6D-4908-B439-A2BEBEC2B72F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F4E420F0-E31B-4605-AD36-98D2B2FA20E3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {F523D6E7-6121-4C56-941C-3A1E2F164283} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\WINDOWS\Tasks\SlimCleaner Plus (Scheduled Scan - jakub_000).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe S2 0151661444561241mcinstcleanup; C:\Users\JAKUB_~1\AppData\Local\Temp\015166~1.EXE -cleanup -nolog [X] S2 SlimService; "C:\Program Files\SlimService\SlimServiceFactory.exe" [X] HKU\S-1-5-21-1929143160-1137578705-3243844180-1004\...\Run: [slimCleaner Plus] => "C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe" /minimize /boot HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 SearchScopes: HKU\S-1-5-21-1929143160-1137578705-3243844180-1004 -> DefaultScope {4085D9A1-D852-4839-8A97-C3D48AA7D723} URL = SearchScopes: HKU\S-1-5-21-1929143160-1137578705-3243844180-1004 -> {4085D9A1-D852-4839-8A97-C3D48AA7D723} URL = FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [brak pliku] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1215155.dll [brak pliku] CMD: netsh advfirewall reset CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstał dwa logi. Dołącz też plik fixlog.txt.

Temat założony w dziale diagnostyki infekcji, brak danych wymaganych działem: KLIK. Obowiązkowe są raporty FRST + GMER.

Temat przenoszę do odpowiedniego działu Windows. To nie jest problem infekcji. Potem będzie do wykonania kosmetyka wpisów odpadkowych / pustych, ale to rzecz podrzędna. Podaj skan pokazujący wszystkie usługi Windows. Uruchom FRST, odznacz opcję Filtrowanie dla Usług, zrób skan i dostarcz wynikowy log.

1. Do wypróbowania przykładowe propozycje: - Darmowe antywirusy: Avast Free Antivirus, Panda Free Antivirus. Przy instalacjach odznaczyć bonusy (toolbary, Dropbox i podobne). - Komercyjne pakiety: Emsisoft Internet Security. - Skaner wspomagający na żądanie: multisilnikowy Reason Core Security (wersja Free) lub Malwarebytes Anti-Malware (wersja Free). Poczytaj też o tym jak ogólnie unikać instalacji adware/PUP: KLIK. 2. Możesz dostarczyć tu raporty do oceny z drugiego komputera. Ale jeśli to ESET jest przyczyną, wątpliwe by dało się coś uzyskać bez wymiany antywirusa.

Widzę nadal tę samą kombinację adresów DNS w logu, nie wiem co o niej sądzić, ona wygląda podejrzanie. Na wszelki wypadek ustawiłabym tam adresy DNS Google. WAN DNS Setting > Connect to DNS Server automatically? przestaw na No > DNS Server 1 wprowadź adres 8.8.8.8 + DNS Server 2 wprowadź adres 8.8.4.4 Tu chodzi o zamknięcie furtki przez którą infekcje atakują router, tzn. zdalne zarządzanie nim z poziomu interfejsu internetowego. Wspominałam o tym: Wygląda na to, że w Twoim modelu odpowiednikiem tego ustawienia jest: zakładka Firewall > General > Enable Web Access from WAN? przestawić na No. Tu nie chodzi o przyzwyczajenia, lecz ogólniejszą perspektywę. Bezpieczeństwo i prywatność: stary program, stare biblioteki szyfrowania z lukami, przywraca też stary niebezpieczy Adobe Flash 10, a ogrom reklam niewiarygodny. Wydajność: jest to jedna z najcięższych i najbardziej zaśmieconych wersji Gadu, nowsze GG są przyjaźniejsze. Czyli: 1. Konfigurujesz DNS oraz dostęp do panelu według podanych wyżej wskazówek i zapisujesz zmiany w routerze. Po konfiguracji routera uruchom ponownieWindows, by zaktualizował ustawienia. 2. Sprawa Gadu nadal aktualna. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pozycję Addition, dostarcz oba logi.

Nie podałeś dokładnej ścieżki gdzie Kaspersky wykrywa Trojan-Spy.Win32.Zbot.a. Tak, infekcja jest dobrze widoczna - uruchamia się przez Harmonogram zadań, dwie instalacje zadania AQIT. Ta infekcja może pochodzić z użycia cracka, w innym temacie był to "witaminizowany" pakiet Office. Czy uruchamiałeś coś tego typu? Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {8D5A0B82-6484-463E-A9B7-6422A6CD1AE0} - \SystemSoundsService -> Brak pliku Task: {E4CBBAEE-4B16-4402-9F74-87038B777E51} - System32\Tasks\AQIT => Rundll32.exe "C:\Windows\SysWOW64\MFC71CHTQ.dll",MNFUK Task: C:\Windows\Tasks\AQIT.job => C:\Windows\system32\rundll32.exe C:\Windows\SysWOW64\MFC71CHTQ.dll C:\Windows\SysWOW64\MFC71CHTQ.dll HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1797872797-1469522326-3676945280-1000\...\Policies\Explorer: [] S3 catchme; \??\C:\ComboFix12\catchme.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1797872797-1469522326-3676945280-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1797872797-1469522326-3676945280-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-1797872797-1469522326-3676945280-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DisableService: PLAY ONLINE. RunOuc Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Skanuj (Scan) - zaznacz ponownie pole Addition oraz brakujący Shortcut, by powstały 3 logi - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Oraz przeklej z dziennika Kasperskiego wykrywaną ścieżkę dostępu.

1. Tu jest jeszcze aktywny sterownik po niepoprawnie odinstalowanym ESET. Wejdź w Tryb awaryjny i zastosuj ESET Uninstaller. 2. Zakładam, że widok raportu jest aktualny i NIS nie został ponownie zainstalowany, gdyż mam w zamiarze usnąć drobne odpadki po nim, co skutkowałoby uszkodzeniem instalacji w przypadku jednak obecności NIS. Zaktualizuj FRST (tzn. pobierz ponownie). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0114BE92-B355-465B-B731-6EF3CE212EF6} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-07-27] (Symantec Corporation) Task: {1035F81C-66DB-4325-9846-EC1C9E006E3B} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\22.5.2.15\SymErr.exe Task: {BBC3D121-0203-4D9B-AB4D-5FF36812808A} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\22.5.2.15\SymErr.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Internet Security DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [ OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => Brak pliku ShellIconOverlayIdentifiers: [ OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => Brak pliku ShellIconOverlayIdentifiers: [ OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => Brak pliku SearchScopes: HKU\S-1-5-21-3790232170-1608757386-3303793035-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF user.js: detected! => C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\qb963fxu.default\user.js [2013-10-14] FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird C:\Program Files\Common Files\AV\Norton Internet Security C:\Program Files\Common Files\Symantec Shared C:\ProgramData\Norton C:\Windows\System32\Tasks\Norton Internet Security C:\Windows\System32\Tasks\Remediation Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v FlashPlayerUpdate /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v OODefragTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v OODefragTray /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

Nie odpowiedziałeś mi na pytanie: Akcje pomyślnie wykonane. Teraz: 1. Zainstaluj najnowszą stabilną wersję Google Chrome. Link w przyklejonym: KLIK. 2. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: odznacz filtrowanie dla Internet, nie zanaczaj pól Addition i Shortcut. Wypowiedz się jasno czy nadal występuje problem reklam i w której przeglądarce. Oraz czy po deinstalacji Acer eDataSecurity Management jest może jakaś poprawa ogólna w działaniu systemu.

To oznacza, że program nie wykrył żadnych znanych sobie flag infekcji. "Detection Search" służy do wyszukiwania informacji o znalezionej infekcji (w oknie wynik się podświetla i dopiero wtedy uruchamia tę funkcję). Funkcja bezużyteczna przy braku wykrycia czegoś. A ten błąd po jej uruchomieniu to jest także u mnie na systemie Windows 10. Czyli na dysku C również? Jak mówiłam, nic tu nie wskazuje na infekcję. Nie wystąpiły żadne objawy poświadczające infekcję: brak komunikatów ransom infekcji (szyfrowanie plików ma cel, tzn. uiszczanie opłat), brak śladów infekcji, brak sufiksów w nazwach zdefektowanych plików. W tej sytuacji widzę dwie możliwości: - Nie jest to infekcja lecz uszkodzenia plików z niewiadomych powodów. - Inne źródło niż widziany system / komputer: dyski tego systemu były w jakiś sposób dostępne (mapowanie dysków) dla innego komputera, na którym była infekcja. I czy tu przypadkiem nie ma dwóch systemów zainstalowanych? W raporcie jest odczyt, iż dwie partycje noszą pliki startowe: ==================== Dyski ================================ Drive c: (Dysk lokalny - PAWEŁ) (Fixed) (Total:33.65 GB) (Free:16.37 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive d: (Dysk lokalny - JAN) (Fixed) (Total:78.13 GB) (Free:18.19 GB) NTFS Drive e: (Dysk lokalny - PAWEŁ) (Fixed) (Total:24.41 GB) (Free:8.3 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive f: (Dysk lokalny - JAN) (Fixed) (Total:44.57 GB) (Free:39.83 GB) NTFS Nie jestem w stanie nic zrobić z tą usterką plików. Jedyna możliwość jaką widzę, to poszukiwanie poprzednich wersji plików za pomocą programów do odzyskiwania danych, np. TestDisk. Z tym że upłynęło dużo czasu, system był na na chodzie i odbywało się wielke zapisów na dysku, co skutecznie ogranicza szanse. Dodatkowo, jeśli to jednak była robota jakiejś infekcji, to obecnie w większości przypadków jest stosowane "bezpieczne usuwanie" uniemożliwiające korzystanie z programów do odzyskiwania danych. Osobna sprawa to innego typu korekty usprawniające system: 1. Odinstaluj stare wersje i zbędne programy: Adobe Flash Player 17 ActiveX, Adobe Reader X (10.1.8) - Polish, Adobe Shockwave Player 11.6, Chinese Traditional Fonts Support For Adobe Reader 9, Gadu-Gadu 7.7, IObit Malware Fighter, Java 2 Runtime Environment, SE v1.4.1_07, Java 7 Update 45, Java Web Start, SpyHunter 4, Surfing Protection. SpyHunter to wątpliwy program. IObit Malware Fighter zbędny przy Avast. Zaś marka IOBit nie jest tu ogólnie polecana: wybryki z kradzieżą bazy danych MBAM w przeszłości, niskie morale (adware w instalatorach, podejrzane związki partnerskie). Sugeruję pozbyć się wszystkich programów IOBit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AV: AVG Anti-Virus Free (Enabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-016 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1614895754-1425521274-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-1614895754-1425521274-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} HKU\S-1-5-21-1614895754-1425521274-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-016 URLSearchHook: HKU\S-1-5-21-1614895754-1425521274-682003330-1004 - (Brak nazwy) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - Brak pliku HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} SearchScopes: HKU\S-1-5-21-1614895754-1425521274-682003330-1004 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} BHO: Brak nazwy -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> => Brak pliku BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> => Brak pliku BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> => Brak pliku Handler: linkscanner - No CLSID Value - FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S3 eapihdrv; \??\C:\DOCUME~1\Jan\USTAWI~1\Temp\ehdrv.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 VIAudio; system32\drivers\vinyl97.sys [X] U4 WMCoreService; Brak ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Documents and Settings\Jan\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\mozilla firefox\plugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Firefox w Dodatkach odmontuj Advanced SystemCare Surfing Protection, o ile nadal będzi widoczy po w/w deinstalacji. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi Dołącz też plik fixlog.txt.

Komunikaty TeslaDecoder są zgodne z przypuszczeniami - program nie może odkodować plików tej wersji TeslaCrypt. A jeśli chodzi o kontynuację sprzątania dysków, to potrzebuję więcej czasu na przejrzenie ogromnych wyników z dwóch plików Fixlog.