picasso

Podaj przykładowe adresy stron podczas których pojawia się ten komunikat.

Detale na temat tego jak rozpoznać czy malware rezydowało na komputerze: CCleaner Malware Incident - What You Need to Know and How to Remove

Tak, instalator kombinuje obie edycje bitowe i wersja 64-bit powinna zostać automatycznie wybrana przy instalacji na systemie 64-bit.

Mam pytania: - Czy te przekierowania nie pojawiają się aby tylko gdy próbujesz otworzyć konkretną stronę? - Czy rozszerzenie "Speed Dial 2 - New tab" jest obecnie włączone (raport sugeruje że nie) oraz czy było ono także przed reinstalacją całego Chrome?

Podana przez Ciebie wersja darmowa to wersja z zeszłego roku i było więcej nowszych darmowych wersji wydanych w 2017 (Changelog). Wersje między podaną przez Ciebie a najnowszą (z pominięciem tej z malware) nadal można pobrać z Filehippo.

Tematy sklejam razem, jest kontynuacja wątków. Na wszelki wypadek dodam czyszczenie bufora DNS. Poza tym uruchomiłeś skrypt zanim skończyłam go edytować i komenda resetu pliku Hosts nie została wykonana. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: ipconfig /flushdns Hosts: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Damian\Downloads\FRST-OlderVersion DeleteKey: HKCU\Software\Google\Chrome\Extensions Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Drobny skrypt końcowy do FRST. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: sc config "Origin Web Helper Service" start= demand RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\rempl RemoveDirectory: C:\Users\kuba pc\AppData\Roaming\SPI RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\rempl Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Z raportów nic nie wynika, ale należy zwrócić uwagę, że jest tu bardzo stara niewspierana platforma: Platform: Microsoft Windows XP Home Edition Dodatek Service Pack 3 (X86) Język: Polski Internet Explorer Wersja 8 (Domyślna przeglądarka: IE) Przeglądarka IE8 mało do czego się nadaje. Jest to przestarzała wersja i wiele stron już nawet nie umożliwia poprawnego wyświetlenia na niej. Przypominam też, że jest ograniczane mocno wsparcie dla XP również przez producentów trzecich. Ostatnie wersje z obsługą XP są wyliczane w przyklejonym: KLIK. Są to: Firefox 52 ESR (a nie wersja standardowa, która już grubo do przodu), Opera 36 (tę wersję widzę akurat w zainstalowanych). Trudno tu stwierdzić cokolwiek. Niemniej jeśli użycie procesora jest wysokie, a trudno dopasować proces to powodujący, sprawdź czy transfer dysku nie został zdegradowany z DMA do PIO: KLIK. Skoro użycie procesora tak wysokie, to zdaje się to być powód niemożności pokazania okien. Czyli należy się skupić najpierw na zbiciu użycia CPU, by stwierdzić czy problem nadal występuje. Jakie? Jakich / w których ścieżkach? Rozszerzenie *.LNK oznacza skrót. Domyślnie jest ukryte, ale może się zdarzyć że będzie widoczne, jeśli mataczono z konfiguracją w rejestrze wg tych kroków: KLIK.

O ile skrypt FRST wykonany, to nie ma żadnych oznak resetu Firefox i nadal adware w Firefox obecne. Jeśli problem przekierowań liveadexchanger nadal występuje, to nadal aktualne pytania z mojego tego posta.

W Google Chrome jest zainstalowane adware: CHR Extension: (Tables) - C:\Users\kuba pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\fngmhnnpilhplaeedifhccceomclgfbg [2017-09-18] 1. Odinstaluj w/w rozszerzenie w Google Chrome. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] Task: {0D4F44C9-FCB8-42C5-9271-C1546C09EC1B} - \Lenovo\Lenovo Customer Feedback Program 64 35 -> Brak pliku Task: {33D6635C-A41D-4525-9965-CA9AB13A853C} - \Lenovo\Lenovo Solution Center Launcher -> Brak pliku Task: {361CB9DA-9518-4480-A0B2-7D664835BDBB} - \Nvbackend -> Brak pliku Task: {3A3B3D38-1EC8-4554-B67C-C01FBD845D83} - \PDVDServ12 Task -> Brak pliku Task: {4B689FEE-0FFA-43C8-A296-D5A395D53E1C} - \Lenovo\REACHit Agent Startup -> Brak pliku Task: {65981F53-D2B0-4C9C-B844-EDAE1DD63ECE} - System32\Tasks\Microsoft\Windows\rempl\shell => C:\Program Files\rempl\remsh.exe Task: {8E0E2668-637A-43E6-9B13-9F4E4E6FFDC4} - \Lenovo\LSC\LSCHardwareScan -> Brak pliku Task: {962A2D82-9148-452F-955F-0EA4EC9F1327} - System32\Tasks\Microsoft\Windows\rempl\shell-unlock => C:\Program Files\rempl\remsh.exe Task: {B84F46FF-32A2-4290-802B-296E012713E2} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_TVSUUpdateTask -> Brak pliku Task: {BF8BF147-FE03-4894-A9A2-5FC73E11C059} - \Lenovo\REACHit Agent Update -> Brak pliku Task: {D1AF5157-085F-4559-9761-B25F82ECFF72} - \Microsoft\Windows\PLA\LSC Memory -> Brak pliku Task: {DB540296-5683-4E11-835D-F7B230B92D23} - \Lenovo\LSC\Lenovo Solution Center Notifications -> Brak pliku Task: {DC2F1AF6-D545-4000-B200-CC16AA5DB884} - \CyberLink\Photo Master Gadget startup -> Brak pliku Task: {EB3F35D1-0D54-4611-AFDF-1E40D59AB731} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\WinSxA.exe C:\ProgramData\Temp C:\Users\kuba pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Сhromе.lnk C:\Users\kuba pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Exрlorеr.lnk C:\Users\kuba pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo App Explorer.lnk Folder: C:\Program Files\rempl Folder: C:\Windows\System32\Tasks\Microsoft\Windows\rempl Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił.

Co z poprzednim wątkiem? A ta szemerana instalacja to prawdopodobnie KMSpico 10.2.0 Portable Final. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {7E9ECEF1-31F9-49F9-8CD6-BB3BBFC3B2C4} - System32\Tasks\AutoPico Daily Restart => C:\Users\Damian\Downloads\KMSpico [Argument = 10.1.6 Final Portable\KMSpico 10.1.6 Final + Portable\KMSpico 10.1.6 Final\KMSpico Portable\AutoPico.exe /silent] Task: {80E2901A-9635-4BC0-8638-204095A0DB2F} - System32\Tasks\ShadowsocksS => C:\Applications\Service.exe HKLM\...\Run: [sERVICE] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia - Chrome CHR HKU\S-1-5-21-409258567-3048439020-1977071521-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bncccjepkagemgfhbeknoggaadchfcfb] - C:\Applications C:\Applications1 C:\ProgramData\Windows C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\Users\Damian\AppData\Roaming\1337 C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Damian\Desktop\PhotoshopPortable\PhotoshopCS6Portable — skrót.lnk C:\Users\Damian\Downloads\*.crdownload C:\Users\Damian\Downloads\KMSpico 10.2.0 Portable Final C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Моzillа Firеfох.lnk Hosts: CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zostały usunięte skróty przeglądarek (niepoprawne pozostałości po adware ze znakami Unicode w nazwach), więc odtwórz je ręcznie w wybranych miejscach. Następnie wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Uwaga: 32-bitowe wersje CCleaner v5.33.6162 i CCleaner Cloud v1.07.3191 zawierają malware / backdoora, nie dotyczy 64-bitowych wariantów. Wersje te były udostępniane na oficjalnej stronie pobierania Piriform. Należy czym prędzej uaktualnić program do najnowszej wersji i na wszelki wypadek zgłosić się na forum w celu analizy raportów z systemu na okoliczność ewentualnych niepożądanych elementów ściągniętych przez malware (podobno ta aktywność malware jednak nie miała miejsca). Więcej informacji tutaj: CCleaner Compromised to Distribute Malware for Almost a Month Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users

Ręczne usuwanie programu to zła metoda, skasowanie folderu McAfee nie powoduje w ogóle usunięcia usług i sterowników. W nowym raporcie widać, że McAfee nadal się uruchamia z ogromnej ilości miejsc. Programy antywirusowe są zbyt złożone i wymagana jest o wiele większa ilość kroków ręcznych lub specjalne narzędzie. 1. Przejdź w Tryb awaryjny Windows. Zastosuj McAfee Consumer Product Removal Tool. Mogą pojawić się błędy, do zignorowania. 2. Przejdź w Tryb normalny i zrób nowe raporty FRST z opcji Skanuj.

Wg zrzutu ze SpaceSniffer ogromna ilość GB jest przede wszystkim na Pulpicie (~23GB), w Pobranych (~9GB) oraz Dokumentach (~3GB). Na pewno to są jakieś pobrane pliki nie-systemowe. Tymi lokalizacjami zajmij się w pierwszej kolejności. Przerzuć wybrane pliki na dysk D, śmieci / dane nieważne usuń.

Czy poradziłaś sobie z uszkodzonymi wejściami gier? Zaprezentuj zrzut ekranu ze SpaceSniffer.

Infekcja pomyślnie usunięta. Teraz spróbuj odinstalować jeden z programów zabezpieczających i zaprezentuj nowy skan FRST (bez Shortcut) po tej operacji.

Wg spodziewań brak rozmachu i niewiele GB przybyło, a problem będzie stale wracał (Windows Update, kolejne instalacje, etc.). Drive c: () (Fixed) (Total:102.78 GB) (Free:8.1 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] 1. Drobne poprawki. W Google Chrome nadal widzę delikwentów Ask Web Search, FunCustomCreations oraz modyfikacje ustawień wyszukiwarki wykonane przez Ask - ponów czyszczenie wg podanych kroków. Następnie uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CHR NewTab: Default -> Not-active:"chrome-extension://aloclllfpfjnbhenpnopmemkdjnoimki/stubby.html" RemoveDirectory: C:\ProgramData\McAfee StartBatch: attrib -h C:\Users\GIIOST\AppData\Roaming\winuptstart.bat del /q C:\Users\GIIOST\AppData\Roaming\winuptstart.bat del /q C:\Users\GIIOST\Downloads\a0362ddc-c581-48d0-b0c6-b9a5077bccc4.tmp EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Gry których nie można odinstalować mogą rzeczywiście być częściowo usunięte. Ich dane instalacyjne spróbuj usunąć za pomocą Program Install and Uninstall Troubleshooter. Program należy uruchomić tyle razy ile wejść, nie umożliwia akcji zbiorowej. Po akcji sprawdź czy na dysku poniewierają się foldery zdefektowanych gier, a jeśli to po prostu skasuj ręcznie (SHIFT+DEL omija przenoszenie do Kosza). 3. W folderze Pobrane jest sporo grubych plików AVI - te pliki możesz przenieść na D gdzie jest dużo wolnego. Skan FRST jest bardzo ograniczony, więc do dalszej diagnostyki skorzystaj ze SpaceSniffer by dokładnie zanalizować gdzie jest najwięcej pożarte. Program należy zastartować przez Uruchom jako administrator, by obliczył sfery zablokowane na zasadzie uprawnień.

Temat przenoszę pod dostosowanym do problemu tytułem do działu Windows, to w ogóle nie jest problem infekcji. Bytefence to niepożądany skaner, lewy program instalowany siłowo na systemach! Brak wolnego miejsca klaruje się jako przyczyna spowolnienia: Drive c: () (Fixed) (Total:102.78 GB) (Free:4.28 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Tu nie będzie żadnej cudownej solucji, należy ręcznie pozbyć się niepotrzebnych rzeczy z dysku. Skrypt FRST nie zdziała zbyt dużo, jedyna komenda która ewentualnie wpłynie na wyniki to czyszczenie Tempów, ale nie spodziewam się wybitnych wyników, bo już CCleaner był uruchamiany (zazębiające się sfery czyszczenia). Ostatecznie jeszcze mogę załączyć na usuwanie katalog pobierania Windows Update. 1. Wyczyść foldery Przywracania systemu, co być może zwolni z kilka GB: KLIK. 2. Odinstaluj niepotrzebne / nieużywane programy, te które zdołasz i nie zwrócą komunikatu o potrzebie większej ilości miejsca do deinstalacji. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=190 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=190" FF Homepage: Mozilla\Firefox\Profiles\8wjxr8p5.default -> hxxp://www.gazeta.pl/0,0.html?p=190 HKU\S-1-5-21-588954717-1973757066-1361698813-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 HKU\S-1-5-21-588954717-1973757066-1361698813-1001\...\Run: [steam] => "D:\Steam\steam.exe" -silent HKU\S-1-5-21-588954717-1973757066-1361698813-1001\...\Run: [Flvto YouTube Downloader] => "C:\Users\GIIOST\AppData\Local\Flvto YouTube Downloader\FlvtoYoutubeDownloader.exe" /minimize HKU\S-1-5-21-588954717-1973757066-1361698813-1001\...\Run: [spotify Web Helper] => "C:\Users\GIIOST\AppData\Roaming\Spotify\SpotifyWebHelper.exe" HKU\S-1-5-21-588954717-1973757066-1361698813-1001\...\Run: [spotify] => "C:\Users\GIIOST\AppData\Roaming\Spotify\Spotify.exe" -autostart -minimized HKU\S-1-5-21-588954717-1973757066-1361698813-1001\...\Run: [Gaijin.Net Agent] => "C:\Users\GIIOST\AppData\Local\Gaijin\Program Files (x86)\NetAgent\gjagent.exe" S2 PlaysService; "C:\Program Files (x86)\Raptr Inc\PlaysTV\plays_service.exe" [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {03981213-7BF7-49DE-AFF4-F29686DDC89C} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {28CFD49C-3089-459D-A8BA-D3DE61644807} - System32\Tasks\{94A902B2-E467-428D-A568-326F0A201424} => C:\Windows\system32\pcalua.exe -a "C:\Users\GIIOST\Desktop\The Sims 4 Vampires.exe" -d C:\Users\GIIOST\Desktop Task: {D4B4E4FC-6B5A-433A-9CE2-473CC12E853C} - System32\Tasks\{F2876072-523F-4F91-9439-FF83B5B1D537} => C:\Windows\system32\pcalua.exe -a "D:\Król Nazguli\mods\Uninstall.exe" -d "D:\Król Nazguli\mods" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{0FC5C84E-3BE7-469B-9862-61E54A0CEC06} RemoveDirectory: C:\Users\GIIOST\AppData\Local\Microsoft\Windows\GameExplorer\{A20033EC-848B-4990-955E-D40CD74FFC50} RemoveDirectory: C:\Users\GIIOST\AppData\Local\Google\Chrome\User Data\Guest Profile RemoveDirectory: C:\Users\GIIOST\AppData\Local\Google\Chrome\User Data\System Profile RemoveDirectory: C:\Windows\SoftwareDistribution\Download StartBatch: del /q C:\Users\GIIOST\AppData\Roaming\winuptstart.bat netsh advfirewall reset EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome z niepożądanych wtrętów: Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj następujące rozszerzenia: Ask Web Search, Bitmotion - New Tab, FunCustomCreations, o ile nadal będą widoczne. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Zabij proces FRST, następnie w powyższym skrypcie wytnij linię CreateRestorePoint: i ponów zadanie. A deinstalacje programów zabezpieczających miały być wykonane dopiero po pomyślnym usuwaniu via FRST, w przeciwnym wypadku malware blokujące w oparciu o certyfikaty może uniemożliwić tę operację.

Programy do czyszczenia rejestru (oraz "jednoklikowe" konserwacje) nie są tu polecane. Użycie czyścicieli nie podnosi wydajności, zaś algorytm wykrywania wadliwych wpisów podatny na fałszywe alarmy i można sobie zaszkodzić. Na forum były przykłady, gdy trzeba było odkręcać cały system po zbyt przedsiębiorczym czyścicielu. Obecnie to nawet część z nich jest wykrywana jako "potencjalnie niepożądana aplikacja" w programie MBAM.

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj cały folder C:\FRST oraz FRST i jego logi z E:\Pobrane\Programs. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj poniższe programy (linki ww/w temacie). Zaś uTorrent polecam zamień nie-reklamodawczym qBittorrent. ==================== Zainstalowane programy ====================== µTorrent (HKU\S-1-5-21-1532438688-69712199-1985089998-1000\...\uTorrent) (Version: 3.5.0.43916 - BitTorrent Inc.) Adobe Flash Player 26 PPAPI (HKLM-x32\...\Adobe Flash Player PPAPI) (Version: 26.0.0.151 - Adobe Systems Incorporated) Java 8 Update 131 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180131F0}) (Version: 8.0.1310.11 - Oracle Corporation)

Wszystko poprawnie wykonane, malware Java usunięte. Drobne poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Task: {F077E2D2-C294-4E9A-BAFB-E8EDAF43440D} - System32\Tasks\Driver Booster SkipUAC (Maciej) => C:\Program Files (x86)\IObit\Driver Booster\4.4.0\DriverBooster.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\Comms RemoveDirectory: C:\ProgramData\ProductData StartBatch: del /q C:\TDSSKiller.3.1.0.15_14.09.2017_16.46.49_log.txt netsh advfirewall reset EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne. 2. I coś jest nie tak z instalacją GameSave Manager v3. Były w raporcie notowane puste skróty (już usunęłam), ale jeszcze poniższy plik jest uszkodzony. Odinstaluj / przeinstaluj ten program. Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\System32\gs_mngr_3.exe

Ale przecież wykonałeś poprzednie stare instrukcje Miszela, która ja usunęłam jako nieaktualne (nie adresowały wielu wpisów). Wpis apletu Java w ogóle nie ruszony. Do wykonania mój skrypt, a po tym nowe skany FRST. Oczywiście te dane już w nowym poście.

Jeśli chodzi o problem główny, z raportów nic konkretnego nie wynika. Ale jeśli chodzi o infekcję, to zaprezentowałeś przecież skan z Kasperskiego, a w nim obiekt który nadal jest aktywnie uruchomiony w systemie (wpis startowy i masa procesów Java): HKLM\...\Run: [system_jconsole.jar] => C:\Program Files\Java\jre1.8.0_131\bin\javaw.exe -jar "C:\ProgramData\Comms\jconsole.jar" 1. Odinstaluj Driver Booster. To program typu "PUP", wątpliwej reputacji, jest nawet wykrywany przez MBAM. Sterowniki aktualizuje się precyzyjnie ręcznie a nie "na oko" automatami. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [system_jconsole.jar] => C:\Program Files\Java\jre1.8.0_131\bin\javaw.exe -jar "C:\ProgramData\Comms\jconsole.jar" ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {0ED2792E-65E5-474A-9137-6682BBBD192B} - System32\Tasks\{20E29486-81D5-41A1-BF5B-9F30E732ADFA} => D:\RavenShield\system\ravenshield.exe Task: {108ED360-B2F8-40B4-8EAF-63A31AD510EB} - System32\Tasks\{3158FCAB-1254-4AA0-B86E-9B2199809009} => C:\Windows\system32\pcalua.exe -a E:\Pulpit\PULPIT\programy\GSAutoClicker-Setup.exe -d E:\Pulpit\PULPIT\programy Task: {184886F2-B8B3-4F87-9383-5A364BE6A4E8} - System32\Tasks\{939D57EA-BDE4-43D0-883A-06A77FA8AA3F} => C:\Windows\system32\pcalua.exe -a K:\R3Setup.exe -d K:\ Task: {3E5EA80A-35B3-4E66-B707-7C8FDB9B50B2} - System32\Tasks\{5024C6F3-3316-42AD-8EFE-7602907E4DAC} => C:\Windows\system32\pcalua.exe -a D:\RavenShield\system\Setup.exe -d D:\RavenShield\system Task: {47BCC617-A6A8-40B9-B5CE-AE356954B34A} - System32\Tasks\{4F6719C5-AF32-4106-8F4E-CB76F537B918} => D:\Games\Mass Effect 3\Binaries\Win32\MassEffect3.exe Task: {711FC4A2-7FDD-4B0E-819C-B4E5D17E9A8C} - System32\Tasks\{12B20674-4654-4A89-AF1E-8297BC9D3108} => D:\Grand Theft Auto\gtawin\gtawin.exe Task: {807C1806-8F82-4D15-8D40-D876710A5D43} - System32\Tasks\{26A4B03C-3C35-42DC-90D9-051ABC6EFF1F} => D:\Grand Theft Auto\gtawin\gtawin.exe Task: {8ABE5765-862D-44B9-A585-A8D203A0783E} - \Auslogics\Driver Updater\Start Driver Updater оn Maciej logon -> Brak pliku <==== UWAGA Task: {C120646B-16B0-406C-8633-21806B80DC24} - System32\Tasks\{3726490B-F8D0-4068-BF9A-4642640E2561} => D:\RavenShield\system\ravenshield.exe CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Folder: C:\ProgramData\Comms C:\ProgramData\Comms\jconsole.jar C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EaseUS Partition Master 12.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameSave Manager v3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kamimachi site E C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Maciej\Desktop\Sexy Beach 3 - Complete English Edition.lnk C:\Users\Maciej\Desktop\SubtitleCreator.lnk CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome sugeruję pozbyć się rozszerzenia Stylish (z userstyles.org). To rozszerzenie zostało przejęte przez producenta adware (SimilarSites), ma wstawione programy śledzące/analityczne i nie jest godne zaufania. Więcej informacji: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. I wypowiedz się w/w usuwanie przyniosło jakieś wymierne skutki.

Tu jest o wiele więcej infekcji niż raportujesz: malware blokujące wszystkie główne programy antywirusowe w oparciu o certyfikaty, infekcja WMI i inne. Jeśli chodzi o Google Chrome, to być może podejścia z usuwaniem będą dwa, gdyż infekcja WMI odtwarza zainfekowane skróty. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) WMI_ActiveScriptEventConsumer_ASEC: Task: {34D284C7-9514-4D01-938A-FA19B8196A70} - System32\Tasks\Opera scheduled Autoupdate 1496920503 => C:\Users\krzysztof\AppData\Local\Programs\Opera\launcher.exe Task: {86D4A202-2F78-44F7-96C7-60FB80A72E6F} - System32\Tasks\oSThxc4DEbFg => osthxc4debfg.exe Task: {A5FB8D28-D504-41F0-B324-7EF271DB0D4C} - System32\Tasks\Opera scheduled suite Autoupdate 1496920513 => C:\Users\krzysztof\AppData\Local\Programs\Opera\launcher.exe Task: {A62C542D-9452-4556-B59B-9FB1D95AAC05} - System32\Tasks\Canon iutorub Express => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Canon iutorub Express\Canon iutorub Express.dll",YKOGxuvomcXD Task: {BCF2A156-DDF4-4D82-AEF9-28211776529B} - \{1727B1E3-0FB9-4E70-85F6-52306BB3A3B4} -> Brak pliku Task: {DF59654F-BB01-4D7F-9B24-2220718ABB88} - System32\Tasks\SpinTires => C:\Users\KRZYSZ~1\AppData\Local\Temp\is-8T1TB.tmp\prsetup.exe Task: {F3D2ECF4-2E1F-47ED-BD70-09AC5F164A9B} - \{0C0E0547-0C7D-7E0D-0A11-0F780B78110F} -> Brak pliku S2 PEFService; "C:\Program Files\Common Files\Intel Security\PEF\CORE\PEFService.exe" [X] S1 wfcre; system32\drivers\wfcre.sys [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton AntiVirus\Engine\22.10.1.10\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton AntiVirus\Engine\22.10.1.10\Exts\Chrome.crx SearchScopes: HKU\S-1-5-21-894481356-605578302-1186019840-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-894481356-605578302-1186019840-1002\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Canon iutorub Express C:\Program Files (x86)\oSThxc4DEbFg C:\ProgramData\AVAST Software C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip File Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip Help.lnk C:\Users\krzysztof\AppData\Local\installer.dat C:\Users\krzysztof\AppData\Local\Mozilla C:\Users\krzysztof\AppData\Local\Programs\Opera C:\Users\krzysztof\AppData\Roaming\Mozilla C:\Users\krzysztof\Desktop\gry, piosenki i nagrania\filip\Farming Simulator 15 .lnk C:\Users\krzysztof\Desktop\programy\Cheat Engine.lnk C:\Users\krzysztof\Documents\My Games\FarmingSimulator2015\mods\McAfee Security Scan Plus.lnk C:\WINDOWS\msdownld.tmp Hosts: CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Gdy powyższy skrypt się wykona poprawnie, odinstaluj jeden z programów zabezpieczających, gdyż jest ich za dużo: McAfee LiveSafe lub Norton AntiVirus. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.