picasso

Temat już podnoszony na forum: https://www.fixitpc.pl/topic/27082-pomoc-przy-lockerze/

W związku z moją słabą dyspozycyjnością i ciągłymi problemami zdrowotnymi ostatnimi czasy: Do działu Malware została przypisana nowa osoba pomagająca - Naathim. Kompetencje: technik z Malwarebytes (także Moderator na forum MBAM), oraz autoryzowany pomocnik w serwisie Geeks2Go.

Strzelczanin, wpis w HKLM (globalny) już zmodyfikowany przez jakieś narzędzie czyszczące - przypuszczalnie AdwCleaner - bez poprawnego prefiksu http://, dlatego zadany do przetworzenia via FRST (przywróci domyślną wartość systemową). Narzędzia czyszczące nie zachowują się spójnie i zastępują przejęte przez adware wartości na różną modłę, staram się wszędzie przywracać domyślne wartości Windows, nawet jeśli ma to nikłe bądź zerowe znaczenie.

Infekcji "Locker" tu jeszcze nie było. Opis infekcji: http://www.bleepingcomputer.com/virus-removal/locker-ransomware-information Wczoraj opublikowano już narzędzie deszyfrujące - Locker Unlocker: http://www.bleepingcomputer.com/forums/t/577953/locker-developer-releases-private-key-database-and-3rd-party-decrypter-released/

Phantomek, mówiłam wyraźnie, że wszystkie akcje masz wykonać będąc zalogowanym na koncie Jarosław, a Ty wykonałeś Fix FRST z poziomu konta Zbyszek (brak widoczności wpisów Jarosława) + Google Chrome wygląda kompletnie inaczej. Powtarzaj 1 do 4 będąc zalogowanym na koncie Jarosław.

Wszystko zrobione. Teraz uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nic nie usuwaj) i dostarcz log z folderu C:\AdwCleaner.

"Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. Infekcja nie jest już czynna, więc mogę się zająć sprawami porządkowymi typu usunięcie innych śladów tej infekcji (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted) oraz odpadków adware i wpisów pustych. Jeśli temat nadal aktualny: 1. Przez Panel sterowania odinstaluj zbędnik McAfee Security Scan Plus. 2. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. Wyszukaj na liście szczątkowy wpis avast! Firewall NDIS Filter Miniport, odinstaluj i zresetuj system. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64; C:\Windows\System32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64.sys [48776 2014-11-21] (StdLib) R2 HPSLPSVC; C:\Users\Uzytkownik\AppData\Local\Temp\7zS4604\hpslpsvc64.dll [1039360 2013-02-06] (Hewlett-Packard Co.) [File not signed] AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found Task: {1793C275-831E-45E7-AE5E-6A07C21105CE} - System32\Tasks\{B30B8FAD-107F-48F8-84BA-C2CE5A42B1E9} => pcalua.exe -a C:\Users\Uzytkownik\Downloads\VP-Female_Install-1.exe -d C:\Users\Uzytkownik\Downloads Task: {8A49326D-1555-4A2B-B9FB-A57A0B7769B1} - System32\Tasks\{4B7A1CFF-8B77-40C8-984F-2F7C37C9F5D8} => pcalua.exe -a C:\Users\Uzytkownik\Downloads\AdobeAIRInstaller(2).exe -d C:\Users\Uzytkownik\Downloads Task: C:\Windows\Tasks\DriverDoc_UPDATES.job => C:\Program Files (x86)\DriverDoc\Solvusoftdd.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms} SearchScopes: HKLM-x32 -> {B7665F00-A1F2-44B2-BE8E-467C72273AAD} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKU\S-1-5-21-2268915923-2210327002-2334318671-1001 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-2268915923-2210327002-2334318671-1001 -> {B7665F00-A1F2-44B2-BE8E-467C72273AAD} URL = http://startsear.ch/?src=sp&aff=67&cf=cd90d133-af86-11e2-b47a-8c89a56e1b2c&q={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-2268915923-2210327002-2334318671-1001 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1416603818&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966 FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966" C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Elex-tech C:\ProgramData\ykesecizacubipyv C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Easy GIF Animator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of Might and Magic III - Złota Edycja\Instrukcje C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II\Publiczny serwer testowy StarCraft II.lnk C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{1FCDCECF-8F1F-46E7-AB60-0E24452A50CC} C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{F5A58C89-646C-48EF-9635-40A0183A2CB0} C:\Users\Uzytkownik\AppData\Roaming\eCyber C:\Users\Uzytkownik\AppData\Roaming\Elex-tech C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Uzytkownik\Desktop\Continue Free FLV Converter installation.lnk C:\Users\Uzytkownik\Desktop\Registry Booster C:\Users\Uzytkownik\Desktop\K2\AION Free-to-Play.lnk C:\Users\Uzytkownik\Desktop\K2\Convert Doc.lnk C:\Users\Uzytkownik\Desktop\K2\Gameforge Live.lnk C:\Users\Uzytkownik\Desktop\K2\GIMP 2.lnk C:\Users\Uzytkownik\Desktop\K2\Gothic II Demo spielen.lnk C:\Users\Uzytkownik\Desktop\K2\McAfee Security Scan Plus.lnk C:\Users\Uzytkownik\Desktop\K2\Mumble (Klient Kompatybilny Wstecz).lnk C:\Users\Uzytkownik\Desktop\K2\Overwolf.lnk C:\Users\Uzytkownik\Desktop\K2\Play FortressMU S6 EP3.lnk C:\Users\Uzytkownik\Desktop\K2\Ventrilo.lnk C:\Users\Uzytkownik\Desktop\K2\Pliki\Pionek.lnk C:\Users\Uzytkownik\Downloads\sh-remover.exe C:\Users\Uzytkownik\Downloads\yet_another_cleaner_sk_4272543.exe C:\Users\Public\Desktop\Oblivion.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

"Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. W mojej gestii będzie tylko usunięcie czynnej infekcji oraz pozostałych jej komponentów (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted). Dodatkowo, w systemie jest innego typu poważne uszkodzenie - wszystkie usługi i sterowniki Microsoftu mają od góry do dołu oznaczenie braku podpisu cyfrowego, co oznacza uszkodzenie jednej z baz Usług krytptograficznych. O ile temat nadal aktualny, działania do przeprzeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1558899207-2086174334-889782467-1001\...\Run: [omuvyquf] => D:\ProgramData\exoqokut.exe [280618 2015-05-12] () BootExecute: Task: {1FB1E602-C75E-4058-A07D-F484BFE05B0A} - System32\Tasks\{5A2009E5-6320-4D3B-A0DB-B65318DCC085} => pcalua.exe -a E:\Friends2\Setup.exe -d E:\Friends2 Task: {341BCCB6-C7AF-43F9-81A7-C657AAA4A638} - System32\Tasks\{64219EC1-8128-4FB3-9570-CDD6E4F3230A} => pcalua.exe -a D:\Users\Grzegorz\Downloads\irfanview_lang_polski.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox" Task: {771254C5-4C59-47F7-B655-3F28CE64AB3A} - System32\Tasks\{9A78C34F-C038-4D46-BDCF-351D737B21BA} => pcalua.exe -a F:\startuj.exe -d F:\ Task: {849F1AB7-4252-48BD-96C1-A1A26574DFD7} - System32\Tasks\Norton Identity Safe\Norton Error Processor => D:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe Task: {9BF1D99A-1594-4B05-B002-9CD3CB538150} - System32\Tasks\{2E74451B-3AF2-474E-83F6-D22461150861} => pcalua.exe -a D:\Users\Grzegorz\Downloads\splinter_cell_chaos_theory_1.00_To_1.05_euro.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox" Task: {AA94ECA0-421A-410F-91FE-7ACD25C28CED} - \{FCCEDEE0-E01C-496C-8726-EE30BEA9B2C4} No Task File Task: {BFDCDE43-F85A-42D3-9444-01763F9C6AAA} - System32\Tasks\{B9EC3D08-51AB-4D83-8FC4-A52E5EF1FB2F} => pcalua.exe -a D:\Users\Grzegorz\Downloads\Sims3_1.29.55.014017_from_1.26.89.013017.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox" Task: {CEF68548-7B8B-4E22-929D-84FFB126103F} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => D:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe Task: {D0289035-C57F-4163-9794-410F559F2268} - System32\Tasks\{459348B8-5B57-4F28-8D64-9D39FAFF2EEB} => H:\start.exe Task: {E102499C-F43E-48A4-8BE4-94A2452E3F29} - \{37F04893-F64D-4A04-803F-48442CA068F6} No Task File Task: {F9784703-5FEA-4AA9-A7AE-9119E09A3570} - System32\Tasks\{DA10C2B5-B8F0-494A-8E9A-64362960C238} => pcalua.exe -a "E:\saints row 2\steam.exe" -c steam://uninstall/9480 Task: D:\Windows\Tasks\Adobe Flash Player Updater.job => Task: D:\Windows\Tasks\AutoKMS.job => Task: D:\Windows\Tasks\AutoKMSDaily.job => R2 MWAgent; D:\Program Files (x86)\Common Files\MicroWorld\Agent\MWASER.EXE [858632 2011-12-20] (MicroWorld Technologies Inc.) S3 clwvd; system32\DRIVERS\clwvd.sys [X] S3 EraserUtilDrv11220; \??\D:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11220.sys [X] S1 GLogin; No ImagePath S3 keycrypt; system32\DRIVERS\KeyCrypt64.sys [X] S3 MSI_MSIBIOS_010507; \??\D:\Program Files (x86)\MSI\Live Update 5\msibios64_100507.sys [X] S3 NTIOLib_1_0_4; \??\D:\Program Files (x86)\MSI\Live Update 5\NTIOLib_X64.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X] U0 SR; No ImagePath U2 SRService; No ImagePath CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-1558899207-2086174334-889782467-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119887&babsrc=SP_ss&mntrId=30ED00FFEF4CC11E SearchScopes: HKU\S-1-5-21-1558899207-2086174334-889782467-1001 -> {951265FF-C6C2-4D61-8785-6091AB57CA33} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=BAFFE972-3829-48E6-BDF9-833E7EDB2B69&apn_sauid=AE9ED8C3-B03C-4847-8963-0510F9522738 FF Plugin-x32: @Bitdefender.com/PasswordManager;version=17.8 -> D:\Program Files\Bitdefender\Bitdefender\Antispam32\pmbxnp.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - D:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 D:\Program Files (x86)\Common Files\MicroWorld D:\ProgramData\{808801f6-940f-1c0f-8088-801f694007da} D:\ProgramData\{a479e98a-190a-2b2c-a479-9e98a190a628} D:\ProgramData\abekelataheficij D:\ProgramData\exoqokut.exe D:\ProgramData\hpeC2D1.dll D:\ProgramData\TEMP D:\ProgramData\Media Center Programs\DriverParallelLines.lnk D:\ProgramData\Media Center Programs\gu.lnk D:\ProgramData\Microsoft\Windows\GameExplorer\{19A1D145-1267-4D28-8A59-3D9F9F3886E9} D:\ProgramData\Microsoft\Windows\GameExplorer\{6ACBFF89-89D4-47C3-A0F3-47C3A9A5AC7E} D:\ProgramData\Microsoft\Windows\GameExplorer\{71F420AA-9315-414B-A883-CE353045E77D} D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo\Ashampoo Home Designer Pro\Manuals\Manual Ashampoo Home Designer Pro.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo\Ashampoo Home Designer Pro\Manuals\Manual Shortcuts.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\New Super Mario Forever\New Super Mario Forever.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer D:\ProgramData\Microsoft\Windows\Start Menu\Programs\AP Tuner 3.08 D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atari D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chicken Invaders UO Polski D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Digital Image Recovery D:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home D:\ProgramData\Microsoft\Windows\Start Menu\Programs\OLYMPUS Camera D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{55CC7FD2-42F0-41D5-82AD-0954A243B333} D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{92C17B13-64D9-44D2-95B0-27C276B0A921} D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{D9B56526-5886-47A5-8A78-32780D3CC589} D:\Users\Grzegorz\AppData\Local\SpaceKace D:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect D:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oddworld Abe's Oddysee D:\Users\Grzegorz\AppData\Temp D:\Users\Grzegorz\Desktop\VR-360,D-760,VR-350,D-755,VR-340,D-750 Instrukcja obsługi.lnk D:\Users\Grzegorz\Desktop\Wznów pobieranie.lnk D:\Users\Grzegorz\Downloads\SpyHunter-Installer.exe D:\Users\Public\Desktop\Your Software Deals.url D:\Windows\System32\Tasks\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zemana AntiLogger Free Packages" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Live Update 5" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam" /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s E:\DECRYPT_INSTRUCTIONS.* /s CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s E:\DECRYPT_INSTRUCTIONS.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Naprawa usterki Usług kryptograficznych: - Upewnij się, że nie masz zainstalowanej felernej łaty KB3004394. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj. - Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

"Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. Wg raportów infekcja per se została już czymś usunięta. Jedyne co jest w mojej mocy, to usunięcie pozostałych śladów infekcji z systemu (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted) oraz innych śmieci (są obiekty adware). Jeśli sprawa nadal aktualna: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Adware: iLivid, Movies Toolbar for Firefox (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), omiga-plus uninstall, Torch. - Stare wersje i zbędniki: Adobe Shockwave Player, Java™ 6 Update 15 (64-bit), Java™ 6 Update 21, Java™ SE Development Kit 6 Update 15 (64-bit), McAfee Security Scan Plus. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe AppInit_DLLs: C:\PROGRA~3\Wincert\WIN64C~1.DLL => C:\PROGRA~3\Wincert\WIN64C~1.DLL File Not Found AppInit_DLLs: C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll => C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll File Not Found HKLM\...\AppCertDlls: [x86] -> C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [Adobe Photo Downloader] => "C:\Program Files (x86)\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} HKU\S-1-5-21-2276001092-626760555-1109151234-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKU\S-1-5-21-2276001092-626760555-1109151234-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX URLSearchHook: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 - (No Name) - {87d5d709-40f2-48a7-8f47-7bb821af70ab} - No File SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {C733E0BE-0ADF-4AC9-BC07-3D044A797762} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN41641281112939549&UM=1 BHO-x32: No Name -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> No File Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {87D5D709-40F2-48A7-8F47-7BB821AF70AB} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\firefox.cfg [2015-04-21] R2 TorchCrashHandler; C:\Users\Sylwia\AppData\Local\Torch\Update\TorchCrashHandler.exe [1217032 2014-10-29] (TorchMedia Inc.) S2 DatamngrCoordinator; C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe [X] S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] Task: {5097392E-DD1C-4372-ACE2-4E1B2C5119B5} - System32\Tasks\DVDAgent => c:\Program Files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe Task: {CB2DDD60-30F5-40BF-AB1D-A1501E1D3514} - System32\Tasks\{0311E9AF-D466-4180-A452-C4128DEC5CC8} => pcalua.exe -a "C:\Instalki\Autorun exe 669 kb\InstMsiW.exe" -d "C:\Instalki\Autorun exe 669 kb" Task: {CC682861-B271-4ACA-8466-D73446F1C2A3} - System32\Tasks\FoxTab => C:\Users\Sylwia\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: {D4BFBA55-AA55-499F-A9D0-C11C081377CF} - System32\Tasks\{096D8D83-4CC6-40C9-A084-C347BC510563} => pcalua.exe -a C:\Instalki\avira_antivir_personal_en.exe -d C:\Users\Sylwia\Desktop Task: {F9A1D246-37C2-46E8-A35A-2A2C7EAC2B3A} - System32\Tasks\{770D2E1F-A600-449B-8825-ECDE3B9BDE1C} => c:\program files (x86)\opera\opera.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Sylwia\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\Avira C:\Program Files (x86)\Movies Toolbar C:\ProgramData\*.log C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\lsass.exe C:\ProgramData\Avira C:\ProgramData\TorchCrashHandler C:\ProgramData\ykesecizacubipyv C:\ProgramData\Microsoft\Windows\GameExplorer\{b6602113-b3c7-45a1-a9f3-d54cfd381d30} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Advisor\AdvisorVideo.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET NOD32 Antivirus\Dokumentacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET NOD32 Antivirus\Umowa Licencyjna.lnk C:\Users\Public\Desktop\Avira.lnk C:\Users\Sylwia\Autorun.exe C:\Users\Sylwia\wrar393pl.exe C:\Users\Sylwia\AppData\Local\tmp*.* C:\Users\Sylwia\AppData\Local\Google C:\Users\Sylwia\AppData\Local\Torch C:\Users\Sylwia\AppData\Roaming\Avira C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Torch.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iLivid.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Torch.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Torch C:\Users\Sylwia\Desktop\Pierdołasy\Adobe Photoshop Album Starter Edition 3.0.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Continue WinZip Installation.lnk C:\Users\Sylwia\Desktop\Pierdołasy\DSCN2667 — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\iLivid.lnk C:\Users\Sylwia\Desktop\Pierdołasy\McAfee Security Scan Plus.lnk C:\Users\Sylwia\Desktop\Pierdołasy\OpenFM.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Opera.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Panopticon Path of Reflections.lnk C:\Users\Sylwia\Desktop\Pierdołasy\PhotoScape.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Rzeźnik MPEG'ów .lnk C:\Users\Sylwia\Desktop\Pierdołasy\Sweet Home 3D.lnk C:\Users\Sylwia\Desktop\Pierdołasy\VoxBox 2.52.lnk C:\Users\Sylwia\Desktop\Pierdołasy\WildTangent Games App - hp.lnk C:\Users\Sylwia\Desktop\Pierdołasy\WinZip.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\Baza firm — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\witraże\* — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\głowica\* — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\DSCN1794 - Kopia — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\eMule.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\Gadu-Gadu 10.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\list — skrót (2).lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\list — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\Wolfenstein (Single Player).lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\oferty\Nowy folder\AGAD EXCEL\Nowy Dokument programu Microsoft Office Word — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Wycięte\OpenFM.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Wycięte\The Sims™ 3.lnk C:\Users\Sylwia\Pictures\Google Chrome.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\found.000 RemoveDirectory: C:\Users\TEMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

hhaczyk - Na Vista i nowszych tylko jeśli jest włączone Przywracanie systemu (ShadowExplorer to tylko dostęp selektywny do punktów Przywracania systemu, nakładka na Właściwości > Poprzednie wersje) i punkty nie zostały skasowane przez infekcję. Ta infekcja kasuje punkty Przywracania systemu. Skoro Ci się udało z ShadowExplorer, to miałeś po prostu szczęście i infekcja nie wykonała roboty do końca. - Na XP nie ma to zastosowania wcale, bo Przywracanie systemu działa w innej technice, nie jak cieniowanie woluminu, nie uwzględnia też określonych typów obiektów i lokalizacji jak w nowszych systemach. SpyHunter to program-naciągacz z czarnej listy! Z daleka od tego dziadostwa! mateomix0 "Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. Jedyne co można zrobić, to ewentualnie szukać poprzednich wersji plików w punktach Przywracania systemu lub przy udziale softu do odzyskiwania danych (wymagana nikła aktywność dysku, im więcej zapisów = tym gorzej). Tutaj jest bieda z punktami Przywracania systemu, tylko dwa: ==================== Restore Points ========================= 08-05-2015 23:44:51 Windows Update 12-05-2015 17:05:54 Windows Update Jak mówię powyżej, infekcja ta kasuje punkty Przywracania systemu. Skoro już tu wypróbowany nie zdołał przywrócić poprzednich plików, to nie ma stosownego punktu Przywracania systemu. ShadowExplorer nie tu. Wg logów, infekcja szyfrująca nie jest już czynna. O ile nie zrobiłeś formatu, jedyne czym mogę się zająć, to usunięcie pozostałych śladów tej infekcji z systemu (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted) oraz adware. Decyduj co robimy.

Jest tu nadal dużo obiektów adware. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}Gw64; C:\Windows\System32\drivers\{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}Gw64.sys [48776 2015-05-25] (StdLib) R1 {848705a5-8a27-403e-9b59-732d0608bcbc}Gw64; C:\Windows\System32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}Gw64.sys [48776 2015-05-26] (StdLib) R1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X] S1 scfd_1_10_0_16; system32\drivers\scfd_1_10_0_16.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKU\S-1-5-21-3723337457-4154312555-470175651-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=dspp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} BHO-x32: No Name -> {b608cc98-54de-4775-96c9-097de398500c} -> No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.oursurfing.com/?type=sc&ts=1432568215&z=d7cb30d451e2f6f653cf379g7z0ceo1wcq9bfoeg0w&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX C:\ProgramData\IHProtectUpDate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CoupSeek C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\Users\Mateusz\AppData\Roaming\systweak C:\Users\Mateusz\SupTab C:\Users\Public\Documents\ShopperPro C:\Windows\System32\roboot64.exe C:\Windows\System32\drivers\{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}Gw64.sys C:\Windows\System32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}Gw64.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 CMD: type C:\Windows\system32\Drivers\etc\hp.bak Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v WinCheck /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CoupSeek /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTDownloader /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v crossbrowse.lnk /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze jakieś problemy.

W Firefox jest adware: FF Extension: Mozilla Firefox Hotfixer - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\6aal0atz.default-1397314689778\Extensions\veggy@veggyAddon.com [2015-05-21] FF Extension: Better Finder - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\6aal0atz.default-1397314689778\Extensions\{142c88f6-8b34-46f3-938d-72ffd58238dc} [2015-01-05] To normalne. Google Chrome ma architekturę separacji komponentów do osobnych procesów, co m.in. ma działanie prewencyjne, by awaria jednej karty nie spowodowała awarii całej przeglądarki. Uruchomienie programu "na czysto" już skutkuje większą ilością procesów niż jeden. A im więcej kart, tym więcej procesów. Przykład: na moim systemie Google Chrome z 6 otwartymi kartami równa się aż 11 procesów w Menedżerze zadań. Tak samo działa Internet Explorer i Opera. Wkrótce Firefox również będzie działał w podobnej technice (Multiprocess Firefox). Problemem nie jest infekcja. Może Avast i/lub MBAM przeszkadzają, może multum procesów Toshiba, a może wykonujesz w systemie takie operacje, które po prostu zapychają pamięć (jest tu podstawowa ilość około 2GB). Dodatkowo, w Dzienniku zdarzeń jest jakiś tajemniczy błąd sugerujący uszkodzenie któregoś z kont: Error: (05/25/2015 05:10:40 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nieokreślony błąd. Tylko nie wiadomo którego, bo są trzy podejrzane (UpdatusUser to ukryte konto aktualizacyjne nVidia): ==================== Accounts: ============================= MCH (S-1-5-21-1258921199-632536683-1381380009-1006 - Administrator - Enabled) => C:\Users\MCH UpdatusUser (S-1-5-21-1258921199-632536683-1381380009-1000 - Limited - Enabled) => C:\Users\UpdatusUser user (S-1-5-21-1258921199-632536683-1381380009-1001 - Administrator - Enabled) => C:\Users\user Usuwanie adware z Firefox oraz wpisów pustych. To nie będzie mieć wpływu na problem "spowalniania systemu". Akcja: 1. Wyczyśc Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. Wyszukaj odpadek avast! Firewall NDIS Filter Miniport po komercyjnej wersji Avast, odinstaluj i zresetuj system. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CreateRestorePoint: S3 BTCFilterService; system32\DRIVERS\motfilt.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 motccgp; system32\DRIVERS\motccgp.sys [X] S3 motccgpfl; system32\DRIVERS\motccgpfl.sys [X] S3 MotDev; system32\DRIVERS\motodrv.sys [X] S3 motmodem; system32\DRIVERS\motmodem.sys [X] S3 MotoSwitchService; system32\DRIVERS\motswch.sys [X] S3 Motousbnet; system32\DRIVERS\Motousbnet.sys [X] S3 motusbdevice; system32\DRIVERS\motusbdevice.sys [X] S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S3 WPRO_40_1340; system32\drivers\WPRO_40_1340.sys [X] S3 xhunter1; \??\C:\windows\xhunter1.sys [X] Task: {024C1338-AF17-4C81-811B-52B749113CA9} - System32\Tasks\{4A6087BF-8724-4CC6-9CB9-EC29198F2DDD} => pcalua.exe -a "E:\gry\Mafia 2 (PC)\mafia_2_crackfix_skidrow_poziomeq_www.ufs.pl_www.przeklej.pl.exe" -d "E:\gry\Mafia 2 (PC)" Task: {2D2FC7F3-0886-4E07-90E0-301396059397} - System32\Tasks\{FD47AB4C-DF8F-4C0D-B9A1-48C2DC9744AB} => E:\gry\Winter Challenge\WINTER.EXE Task: {38F1A4A7-113E-4C8D-9B1C-99E25EF743EB} - System32\Tasks\{22944DC9-4BEF-4ED3-820A-79D781B7B08B} => pcalua.exe -a C:\Users\user\Downloads\subedit_b4072_install.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {3C7FBC74-6C1C-4DE1-8026-37A35089A4F7} - System32\Tasks\{B44413EF-B4F3-4677-9078-B53ACB5AC490} => pcalua.exe -a "C:\Program Files (x86)\PowerStrip\uninstal.exe" Task: {3CA57C51-0946-476A-94F7-48D1F3F62FA5} - System32\Tasks\{2CC4F63D-8423-49D1-9F2A-2363F7598B90} => pcalua.exe -a C:\Users\user\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {6C45CEC7-0BBF-4419-B018-174A38CD3EE1} - System32\Tasks\{1136455A-63E7-4D04-8582-5D7A44E74437} => pcalua.exe -a C:\windows\UniFish3.exe -c C:\Program Files (x86)\Hasbro Interactive\RollerCoaster Tycoon\RollerCoaster Tycoon.log Task: {7623EADF-76B1-40B9-BEFA-00E5A8D361A0} - System32\Tasks\{E2A611C7-E77E-4BE3-84BC-CCA2FC48E38E} => pcalua.exe -a "C:\GTA IV PC Version\GTAIVPLv0.97.exe" -d "C:\GTA IV PC Version" Task: {806B77F0-6316-43A4-8DE0-7D084AF191B8} - System32\Tasks\{D3DEF838-0543-4DB2-A7B3-30D6F1562E47} => pcalua.exe -a G:\application\Setup.exe -d G:\ Task: {91B762D9-F80D-4904-83DA-7D8A1FB6F756} - System32\Tasks\{C7D2ED99-B1FB-41B2-9325-36E107CE4D70} => E:\gry\Winter Challenge\WINTER.EXE Task: {9FA73AC5-DDFE-42B9-A452-642D8AAA9A4D} - System32\Tasks\{16120F39-90A6-4D36-83F7-F3357AAADEED} => pcalua.exe -a "E:\Deluxe Ski Jump 4\Setup.exe" -d "E:\Deluxe Ski Jump 4" Task: {BEC49251-BFB3-4DBD-A275-17443628E999} - System32\Tasks\{A3FC22F2-20B2-4849-A152-675591F57F52} => pcalua.exe -a "C:\Users\user\Downloads\Daemon Tools 4.0.3.exe" -d "C:\Program Files (x86)\Mozilla Firefox" Task: {D0842725-561C-401C-B155-65E1998EEAB4} - System32\Tasks\{F032F920-AC82-4530-B8D0-4B4948E1DA88} => pcalua.exe -a D:\setup.exe -d C:\windows\SysWOW64 -c /embed"{A5932AB8-C786-42F2-B91C-F22B641C6396}" /hide_splash /hide_progress /runprerequisites"Motorola,FD,MotorolaMediaLink" /l2057 HKLM\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1258921199-632536683-1381380009-1001 -> {038E0D62-ECF8-418A-876A-B66BA3F5C564} URL = SearchScopes: HKU\S-1-5-21-1258921199-632536683-1381380009-1001 -> {09FA809C-D7FF-4999-85F9-33681221D530} URL = SearchScopes: HKU\S-1-5-21-1258921199-632536683-1381380009-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1258921199-632536683-1381380009-1001 -> {34882F1D-847E-47DB-A55E-52AA79BF0BB5} URL = SearchScopes: HKU\S-1-5-21-1258921199-632536683-1381380009-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = BHO: SmaartComPiare -> {1903BE6A-B9E9-B38A-3CD7-3FEB87DD4BE7} -> C:\ProgramData\SmaartComPiare\Q5To2.x64.dll No File BHO: DisacouintLoCattoor -> {1E17AFD8-ED8B-DC01-25A0-AF9F34E9712E} -> C:\ProgramData\DisacouintLoCattoor\4KT3cl8.x64.dll No File BHO: SalEssChheckkeerr -> {26F9A88D-9526-B0BA-DCD8-42D6C2B134DF} -> C:\ProgramData\SalEssChheckkeerr\2rq_wYr.x64.dll No File BHO: AdobViewER -> {83A2A75B-515B-B7C5-28E5-05A503C49552} -> C:\ProgramData\AdobViewER\3bE.x64.dll No File BHO: FlasHCoiuppon -> {995709A4-5411-5421-9791-06DEEB5253DA} -> C:\ProgramData\FlasHCoiuppon\4VAK.x64.dll No File BHO: ToppdEEall -> {BA932C8E-5A4E-C9AB-C4E9-12EDDC7F1C3F} -> C:\ProgramData\ToppdEEall\pA6.x64.dll No File BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\XTab\SupTab.dll No File FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 CHR HKLM-x32\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files (x86)\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-05-23] StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: Google Chrome - Chrome.exe C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.5 C:\ProgramData\TEMP C:\Users\MCH\Desktop\Glary Utilities.lnk C:\Users\user\AppData\Local\{28BF8435-A31F-4C29-AF2B-A1CA91F03DDB} C:\Users\user\AppData\Local\{DDDCAE1B-F139-4B5C-911D-E6EC1A75B108} C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{59ECCF11-9F8E-4DE6-A907-259FEF141C71} C:\Users\user\Desktop\S.K.I.L.L. - Special Force 2.lnk C:\Users\user\Downloads\Continue 7-Zip Installation.lnk C:\Users\user\Downloads\Gameforge Live\Gameforge Live.lnk C:\Users\user\Saved Games\Microsoft Games\S.K.I.L.L. - Special Force 2.lnk C:\Windows\system32\Drivers\568056C9.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E597EF89-D3DF-7708-E392-3D9C87CAB1AA} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\4F6D5E84-5826-4394-9F40-3A9A19165651_is1 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1258921199-632536683-1381380009-1000\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-21-1258921199-632536683-1381380009-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FLV Player" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Fix wykonany, więc wiadome kroki końcowe będą do wdrożenia. Dostarczone raporty FRST pokazywały ten program na liście Dodaj/Usuń oraz jego skróty na dysku: ==================== Installed Programs ====================== Nimo Codecs Pack v5.0 (Remove Only) (HKLM\...\NimoCorp) (Version: - ) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\DivFix.lnk -> C:\Program Files\NimoCodec Pack\Div Fix\DivFix.exe (Budai Csaba) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Misc Utlities.lnk -> C:\Program Files\NimoCodec Pack\MiscStuff () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Nimo.lnk -> C:\Program Files\NimoCodec Pack\Nimo.jpg () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\NimoPack.lnk -> C:\Program Files\NimoCodec Pack () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\SubMux.lnk -> C:\Program Files\NimoCodec Pack\DirectVobSub\submux.exe (Gabest) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\SubResync.lnk -> C:\Program Files\NimoCodec Pack\DirectVobSub\subresync.exe (Gabest) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Uninstall.lnk -> C:\Program Files\NimoCodec Pack\uninstall.exe () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Player\DivX Player 2.0 Alpha.lnk -> C:\Program Files\DivX\DivX Player 2.0 Alpha\DivX Player 2.0 Alpha.exe () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Player\Playa.lnk -> C:\Program Files\The Playa\ThePlaya.exe (Project Mayo) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\DivX help guide.lnk -> C:\Program Files\DivX\DivX Codec\DivX help guide.url (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\DivX.com.lnk -> C:\Program Files\DivX\DivX Codec\DivX.com.url (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\License.lnk -> C:\Program Files\DivX\DivX Codec\LICENSE.TXT (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\ReadMe.lnk -> C:\Program Files\DivX\DivX Codec\README.txt (No File) Czy widzisz folder C:\Program Files\NimoCodec Pack na dysku?

Nic czynnego, tylko szczątkowe wpisy adware, oraz bardzo stary ESET (potem do wymiany). 1. Deinstalacje: ----> Przez Dodaj/Usuń programy odinstaluj stare Adobe AIR, Adobe Reader 9.5.2, DivX Setup. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe ukryte wpisy RealDownloader, RealNetworks - Microsoft Visual C++ 2008 Runtime, RealNetworks - Microsoft Visual C++ 2010 Runtime, RealUpgrade 1.1. Narzędzie należy uruchomić tyle razy, ile wpisów, nie da się zrobić hurtowego usuwania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-1957994488-527237240-725345543-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1957994488-527237240-725345543-500 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss_din2g&mntrId=7C2200C0A8D9076E SearchScopes: HKU\S-1-5-21-1957994488-527237240-725345543-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX&q={searchTerms} BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO: DealPly -> {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} -> No File Toolbar: HKU\.DEFAULT -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\.DEFAULT -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-1957994488-527237240-725345543-500 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-1957994488-527237240-725345543-500 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll [2011-06-20] (DivX, LLC.) FF Plugin: @real.com/nppl3260;version=16.0.2.32 -> c:\program files\real\realplayer\Netscape6\nppl3260.dll No File FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.2 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll [2013-04-16] (RealNetworks, Inc.) FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.2 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll [2013-04-16] (RealNetworks, Inc.) FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.2 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll [2013-04-16] (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.2.32 -> c:\program files\real\realplayer\Netscape6\nprpplugin.dll No File FF Plugin: @realnetworks.com/npdlplugin;version=1 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll [2013-04-16] (RealDownloader) FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml [2015-05-20] FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\sweet-page.xml [2014-04-26] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{FCE04E1F-9378-4f39-96F6-5689A9159E45}] - C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF HKLM\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\zczqkzcp.default\extensions\quick_start@gmail.com Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{774B83C5-AB09-4EA7-9858-83D6A625F73D}.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1957994488-527237240-725345543-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1957994488-527237240-725345543-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-1957994488-527237240-725345543-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-04-16] () [File not signed] S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] C:\Documents and Settings\Administrator\daemonprocess.txt C:\Documents and Settings\Administrator\Dane aplikacji\Babylon C:\Documents and Settings\Administrator\Dane aplikacji\DealPly C:\Documents and Settings\Administrator\Dane aplikacji\digitalsite C:\Documents and Settings\Administrator\Dane aplikacji\DSite C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy C:\Documents and Settings\Administrator\Dane aplikacji\SimilarSites C:\Documents and Settings\Administrator\Dane aplikacji\Solvusoft C:\Documents and Settings\Administrator\Dane aplikacji\SupTab C:\Documents and Settings\Administrator\Moje dokumenty\Mobogenie C:\Documents and Settings\Administrator\Moje dokumenty\Optimizer Pro C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\FileViewPro C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\IePluginService C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\All Users\Menu Start\Programy\DealPly C:\Documents and Settings\All Users\Menu Start\Programy\RealNetworks C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\AVG Security Toolbar C:\Program Files\DealPly C:\Program Files\Optimizer Pro C:\Program Files\RealNetworks C:\Program Files\sitefinder C:\Program Files\SupTab C:\Program Files\SweetIM C:\Program Files\WiseEnhance C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DisableService: PLAY ONLINE. RunOuc Reg: reg delete HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F} /f Reg: reg delete HKCU\Software\BABSOLUTION /f Reg: reg delete HKCU\Software\DataMngr /f Reg: reg delete HKCU\Software\DealPly /f Reg: reg delete HKCU\Software\dsiteproducts /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\InstallCore /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706} /f Reg: reg delete HKCU\Software\Mozilla\Extends /f Reg: reg delete HKCU\Software\SweetIM /f Reg: reg delete HKCU\Software\UpdateStar /f Reg: reg delete HKCU\Software\WiseEnhance /f Reg: reg delete HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0} /f Reg: reg delete HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C} /f Reg: reg delete HKLM\SOFTWARE\Babylon /f Reg: reg delete HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB} /f Reg: reg delete HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} /f Reg: reg delete HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} /f Reg: reg delete HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} /f Reg: reg delete HKLM\SOFTWARE\Classes\Prod.cap /f Reg: reg delete HKLM\SOFTWARE\Classes\TypeLib\{07CAC314-E962-4F78-89AB-DD002F2490EE} /f Reg: reg delete HKLM\SOFTWARE\Classes\TypeLib\{13ABD093-D46F-40DF-A608-47E162EC799D} /f Reg: reg delete HKLM\SOFTWARE\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D} /f Reg: reg delete HKLM\SOFTWARE\DataMngr /f Reg: reg delete HKLM\SOFTWARE\DealPly /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v bProtectTabs /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKLM\SOFTWARE\SupTab /f Reg: reg delete HKLM\SOFTWARE\supWPM /f Reg: reg delete HKLM\SOFTWARE\SweetIM /f Reg: reg delete HKLM\SOFTWARE\sweet-pageSoftware /f Reg: reg delete HKLM\SOFTWARE\WiseEnhance /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginService /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Wpm /f Reg: reg delete "HKU\S-1-5-18\Software\AVG Secure Search" /f Reg: reg delete HKU\S-1-5-18\Software\SweetIM /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Scan (z Addition, bez Shortcut). Dołącz też plik fixlog.txt.

W raportach nie widać nic powiązanego w Google Chrome. Skoro problem nadal istnieje, występuje tu prawdopodobnie adware "zintegrowane" z Chrome (modyfikacja resources.pak) i wymagana reinstalacja przeglądarki. Od tego właśnie rozpocznij: 1. Wyeksportuj z Chrome trylko zakładki. Zresetuj synchronizację (o ile włączona): KLIK. Następnie odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki 2. Zainstaluj najnowsze Google Chrome. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Wypowiedz się czy problem nadal występuje.

Raporty z przestarzałego OTL nie są już brane tu pod uwagę, za to zestaw obowiązkowych logów FRST niekompletny - brak plików Addition + Shortcut. Problem główny stanowiło rozszerzenie: CHR Extension: (Coupon4u) - C:\Users\pekude\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccogepdpdnpcoblidpcjgmdcafinijg [2015-05-10] Usunąłeś z dysku folder, co nie jest do końca poprawną metodą, to rozszerzenie powinno nadal być widoczne w opcjach (na razie niedostępnych). Ale to nie wszystko co było od adware - także polityki Google Chrome (blokujące wejście do opcji) oraz inne niepożądane wpisy. Tak więc proszę o nowe świeże raporty FRST, włącznie z tymi brakującymi.

Nie przedstawiłeś zrzutu ekranu o jakiej reklamie mowa, ale domyślam się, że jest to rodzaj "przyklejonego boxu". Raport FRST wskazuje bowiem na infekcję routera - zakreślony IP jest niemiecki: KLIK. Tcpip\Parameters: [DhcpNameServer] 85.114.135.20 8.8.8.8 Akcje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper. 3. Pozostałe działania "kosmetyczne" - usunięcie pustych wpisów i wypróżnienie bufora DNS. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2824378846-524081564-2586175422-1000\...\Policies\system: [DisableLockWorkstation] 0 Toolbar: HKU\S-1-5-21-2824378846-524081564-2586175422-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-2824378846-524081564-2586175422-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] Task: {1C6C87A6-26C7-4A61-90EF-FDF6C3433243} - System32\Tasks\Uninstaller_SkipUac_user => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {20B1F884-FA07-4A64-867D-C1AB40275603} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {A5AF3D53-F893-447E-AE4C-D2806476490E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\Program Files (x86)\Google C:\Program Files (x86)\Temp C:\ProgramData\Google C:\ProgramData\Temp C:\Users\user\AppData\Local\Google C:\Users\user\AppData\Roaming\Google C:\Users\user\Links\Dysk Google.lnk C:\Windows\msdownld.tmp CMD: ipconfig /flushdns Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Fix FRST wykonany pomyślnie, skróty przeglądarek pomyślnie wyleczone i Delta już nie powinna się otwierać. Kolejne akcje: 1. AdwCleaner ma zastrzeżenia do programu Driver Genius. Odinstaluj go w poprawny sposób via Panel sterowania. 2. Dopiero po przeprowadzeniu powyższego uruchom ponownie AdwCleaner, lecz tym razem zastosuj zestaw opcji Szukaj + Usuń. Gdy program ukończy czyszczenie: 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Meg\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Meg\Downloads\zrxo37jz.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

W Operze jest dobrze widoczne tytułowe adware. Problem dłuższego uruchamiania systemu nie pochodzi jednak od infekcji - silny podejrzany to oprogramowanie antywirusowe, aktualnie w tle Avast + Norton Internet Security, co jest wystarczającym powodem, by nawet zablokować uruchomienie systemu. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje oraz zbędniki firmowe, co obniży liczbę uruchamianych procesów: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 9.3 MUI, Adobe Shockwave Player 11.5, Bing Bar, Java™ 6 Update 20 (64-bit), Java™ 6 Update 20, Norton Internet Security, Norton Online Backup. 2. W Operze CTRL+SHIFT+E i za pomocą iksa odinstaluj rozszerzenie adware Digital More. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1223011260-1282141417-537522039-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1223011260-1282141417-537522039-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1223011260-1282141417-537522039-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1223011260-1282141417-537522039-1000 -> {A2453129-6392-4821-AEBF-6B58278C1019} URL = SearchScopes: HKU\S-1-5-21-1223011260-1282141417-537522039-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File BootExecute: autocheck autochk * sdnclean64.exe C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\{*}.log C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Malwarebytes C:\ProgramData\Temp C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Windows\System32\Tasks\Safer-Networking DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

Mimo wszystko poproszę o podane zestawu obowiązkowych raportów z FRST, które mają to potwierdzić. Dołącz też log z MBAM pokazujący co usunięto.

Tak, to dobry kierunek działań. Tutaj sprawy infekcyjne rozwiązane, więc ten temat zamykam.

Wszystko zrobione. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To nie są pliki GMER per se, tylko raporty błędów Windows nagrane podczas awarii GMER. Możesz je oczywiście usunąć.

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję opcji Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: Task: {2B249E86-CACC-4AFD-A696-5D10CD1937BA} - System32\Tasks\{50EE199C-3573-475E-9D58-842C71A1309C} => pcalua.exe -a "C:\Users\Ania\Local Settings\Application Data\Bundled software uninstaller\bi_client.exe" -c /initurl http://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Ania\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Ania\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Ania\Downloads\gm.zip Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Owszem, jest aktywne w Harmonogramie zadań podejrzane zadanie MdmUpdateTaskMachineCore wyglądające na BitCoin Minera (teoretycznie związane z Hightail for Lenovo, ale w innym temacie był inny program przypisany, co sugeruje używanie ścieżek legalnych aplikacji przez szkodnika). To jedyne co ewentualnie ze "szkodników" tu może grać rolę, bo poza tym są tylko nieaktywne szczątki adware. Na razie przeprowadź te działania i zobaczymy co z tego wyniknie: 1. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface (downloader programów AutoCAD i nie tylko). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&q={searchTerms} HKU\S-1-5-21-1705058009-1785825615-431387334-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&q={searchTerms} HKU\S-1-5-21-1705058009-1785825615-431387334-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKU\S-1-5-21-1705058009-1785825615-431387334-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKU\S-1-5-21-1705058009-1785825615-431387334-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&q={searchTerms} URLSearchHook: [s-1-5-21-1705058009-1785825615-431387334-1001] ATTENTION ==> Default URLSearchHook is missing SearchScopes: HKU\S-1-5-21-1705058009-1785825615-431387334-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1705058009-1785825615-431387334-1002 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&ts=1432267697&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1705058009-1785825615-431387334-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&ts=1432267697&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1705058009-1785825615-431387334-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&ts=1432267697&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1705058009-1785825615-431387334-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&ts=1432267697&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\XTab\SupTab.dll No File HKU\S-1-5-21-1705058009-1785825615-431387334-1002\...\Run: [Akamai NetSession Interface] => C:\Users\User\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.) HKLM-x32\...\Run: [EfficientStickyNotes] => [X] HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1705058009-1785825615-431387334-1002\...\Policies\Explorer: [] HKU\S-1-5-21-1705058009-1785825615-431387334-1002\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-1705058009-1785825615-431387334-1002\...\Policies\Explorer: [NoControlPanel] 0 Task: {48C9E774-BA89-4B09-A2C0-31FEFAD7E1FA} - System32\Tasks\{46880199-C722-4B3D-8F90-53FBFBD25A57} => pcalua.exe -a "C:\GRY\Riot Games\League of Legends\lol.launcher.exe" -d "C:\GRY\Riot Games\League of Legends\" Task: {5701C1F1-29D7-4685-8CEA-375DF1523C78} - System32\Tasks\MdmUpdateTaskMachineCore => C:\Users\User\AppData\Roaming\Hightail for Lenovo\Caches\mdm [2015-05-16] ( ) Task: {6C6FB0EC-9136-44D2-8334-ABB67FF0583E} - System32\Tasks\{7FE1C493-3202-45C5-B166-9A4AFE9D9F51} => pcalua.exe -a "C:\GRY\Riot Games\League of Legends\lol.launcher.exe" -d "C:\GRY\Riot Games\League of Legends\" Task: {AC44926E-C252-46DF-A0BB-30067F93EC06} - System32\Tasks\{48B8A1F3-F1D6-4CA3-8842-AA3F0E5F8715} => Chrome.exe http://ui.skype.com/ui/0/7.3.0.101/pl/abandoninstall?page=tsProgressBar HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Launcher L2 Exilium.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk Folder: C:\Users\User\AppData\Roaming\Hightail for Lenovo CMD: netsh advfirewall reset Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinRAR Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Winzip Packages" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy jest jakaś poprawa.