picasso

Na pendrive są ślady infekcji - ukryty folder F:\BUBAVII. Drobnostki do wykonania: 1. Pendrive ma być podpięty, zakładam, że nadal pod literą F: widziany, w przeciwnym wypadku w poniższym skrypcie wymień literę F: bieżącą. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S0 BTHidEnum; System32\Drivers\vbtenum.sys [X] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 GPU-Z; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\GPU-Z.sys [X] S1 mailKmd; No ImagePath S3 massfilter; system32\drivers\massfilter.sys [X] S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] S1 Wbutton; \SystemRoot\system32\drivers\Wbutton.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] HKLM\...\RunOnce: [] => [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\Admin\Pulpit\Continue DAEMON Tools Lite installation.lnk C:\Documents and Settings\Admin\Pulpit\Recovery-Info.lnk C:\Documents and Settings\Default User\Pulpit\Recovery-Info.lnk C:\Documents and Settings\użytkownik\Pulpit\Recovery-Info.lnk C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\*.DLL C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\pss\Symantec Fax Starter Edition Port.lnkCommon Startup F:\AUTORUN.INF RemoveDirectory: F:\BUBAVII RemoveDirectory: F:\FOUND.000 Folder: C:\AddOn CMD: del /q C:\REMOVE_THIS_FILE.livecd.swap CMD: netsh firewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Symantec Fax Starter Edition Port.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CanonMyPrinter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CanonSolutionMenu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PKTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat czyszczę ze śmieci i przenoszę do działu Windows. Użycie ComboFix nic nie wniosło do sprawy, program nic nie usuwał. I nic tu nie wskazuje na problem infekcji jako przyczyny spowolnienia systemu. Objaśnij też co oznacza tytułowy "ToolboxBitmap32" - co to właściwie znaczy i gdzie to się pokazuje. Na razie do wykonania: 1. W spoilerze szybkie doczyszczanie wpisów pustych i szczątków przeglądarek (Firefox i Opera). To w niczym nie pomoże i nie "odlaguje" systemu, to kosmetyka i nic poza tym. 2. Usunięcie odpadkowego lecz aktywnego sterownika Avast, który filtruje klawiaturę: R0 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [22600 2013-03-07] (AVAST Software) Celowo wyizolowane ze skryptu, bo jeśli skrypt napotka jakiś błąd, odetnie Cię od klawiatury, ręcznie większa kontrola. Poza tym czegoś się nauczysz. Start do Trybu awaryjnego. Start > w polu szukania wpisz regedit > i wykonaj: ---- W kluczu klasy klawiatur: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, ale nie usuwaj systemowego kbdclass. ----> Skasuj klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aswKbd Następnie zresetuj system, wejdź do Trybu normalnego i skasuj z dysku plik: C:\Windows\System32\Drivers\aswKbd.sys 3. Kompleksowa aktualizacja systemu, bo fatalny stan, goły Windows 7, brak SP1 + IE11 + reszty. Aktualizacja może mieć znaczenie w kontekście sprawności systemu. Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: IE) Z tym, że tu nie za dużo wolnego miejsca na dysku: ==================== Drives ================================ Drive c: () (Fixed) (Total:48.83 GB) (Free:12.11 GB) NTFS Drive d: () (Fixed) (Total:146.93 GB) (Free:50.95 GB) NTFS Drive e: () (Fixed) (Total:176.76 GB) (Free:84.18 GB) NTFS Proces pobierania łat oraz tworzenia kopii zapasowych szybko nabije. A im mniejszy próg wolnego, tym bardziej ślamazarny system może być. Ten dysk C to ogólnie trochę mały na system 64-bit. Minimalne wymagania owszem spełniasz, ale przestrzeni na instalacje brak. 4. Wygląda też na to, że są tu jakieś braki w sterownikach - może coś związane z chipsetem, a może coś innego. Brak tu jakichkolwiek danych (nawet klasy do której urządzenie jest wyasygnowane): ==================== Faulty Device Manager Devices ============= Name: Description: Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Sprawdź jak to widać w Menedżerze urządzeń i czy da się pobrać Device ID (jest możliwe, że nawet tego brak).

Temat przenoszę do działu Windows. Brak objawów infekcji. Z logów nic też nie wynika pod kątem problemu zasadniczego. Sugeruję sprawdzić podstawowe kroki: 1. Czy pomaga "czysty rozruch": KLIK. 2. Czy pomaga deinstalacja MBAM i Avast (po jednym na raz a nie hurtem). 3. W Dzienniku zdarzeń jest też błąd związany ze sterownikami AMD, może w sterownikach należy szukać: Application errors: ================== Error: (05/03/2015 02:04:46 PM) (Source: ATIeRecord) (EventID: 16386) (User: ) Description: ATI EEU Client has failed to start

Zappa Literówka w drugiej linii oraz został usunięty poprawny wpis: Task: {C777653B-1170-4A35-B3F3-59049B783B5D} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc To część systemu licencjonowania pakietu Office - zadanie ma na celu restart usługi licencyjnej w predefiniowanytm czasie. Jeśli usługa nie działa, mogą się pojawić problemy typu "klucz niepoprawny" etc. jachu876 Wymagane kolejne poprawki. Po pierwsze: nadal komponenty adware w raporcie widoczne ("FIFA 14 Ultimate Edition Key Generator" w Autostarcie, szczątki przekonwertowanego przez adware Google Chrome, foldery adware na dysku). Po drugie: usunięcie szczątków po szyfratorze oraz zaszyfrowanych plików z wszystkich katalogów. 1. Te ważne zaszyfrowane pliki gdzieś skopiuj na zewnętrzny nośnik. Akcja tylko na wszelki wypadek, bo żadnych widoków na deszyfrację. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FIFA 14 Ultimate Edition Key Generator.lnk [2015-04-10] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Task: {201CF5A9-209E-4AD5-8FC0-EB0F6D3FCADB} - System32\Tasks\{F5541B6B-5842-4A8C-B2F7-24912C72A43F} => pcalua.exe -a "J:\Program Files\FIFA 14\__Installer\vc\vc2010sp1\redist\vcredist_x86.exe" -d "J:\Program Files\FIFA 14\__Installer\vc\vc2010sp1\redist" Task: {34C85192-9A1D-4E75-BA30-870E1818A350} - System32\Tasks\{5F7730DA-A7F3-4F08-B95D-ECF817C58644} => pcalua.exe -a "J:\Program Files\FIFA 14\__Installer\dotnet\dotnet35sp1\redist\dotnetfx35.exe" -d "J:\Program Files\FIFA 14\__Installer\dotnet\dotnet35sp1\redist" Task: {367068CF-787A-4AFE-9269-62CC93FB2179} - System32\Tasks\{F7A8569C-2EC7-4B6F-BAEB-4F4ABF9FF8C6} => pcalua.exe -a "C:\Program Files (x86)\SalePlus\0c9QbvsY7GF31y.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {D38044B5-53BA-408A-9371-D0D73C490DB4} - System32\Tasks\{C57F00E5-E9C7-4388-B6C1-203692462626} => pcalua.exe -a "C:\Program Files (x86)\Bookolio\Bookolio.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" C:\Program Files (x86)\Bookolio C:\Program Files (x86)\appfast C:\ProgramData\kwhempk.html C:\ProgramData\{5967b0a1-0bde-d483-5967-7b0a10bdc284} C:\ProgramData\{10a91f5a-b65e-8b69-10a9-91f5ab657d6a} C:\Users\Tomek\AppData\Local\Temp-log.txt Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: attrib -r -h -s C:\*aoayoqa* /s CMD: del /q /s C:\*aoayoqa* CMD: type C:\ComboFix.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wyniki skryptu się nie zgadzają. FRST w ogóle nie wykrył komponentów SpyHunter i już ich nie ma. Czy Ty aby go jednak nie odinstalowałeś przed użyciem skryptu? Avast (i nie tylko on) nie lubi FRST i w przyklejonym jest nawet podane, by wyłączyć osłony na czas pobierania. To jest błąd skanerów. Ten problem był zgłaszany multum razy, ekipa Avast jakoby wykluczała program, tylko że robili to prawdopodobnie w oparciu o sumę kontrolną, a przecież FRST jest często aktualizowany i każda aktualizacja zmienia sumę. Czyli nowy upload i powrót do punktu wyjścia. Farbar tak się wkurzył, że chciał w ogóle zablokować uruchomienie FRST na systemach z Avast i Nortonem (tylko że problem nie tylko z nimi, np. F-Secure nie puszcza startu, o ile nie zrobi się wykluczenia ręcznie, AVG wykrywa "nieznanego wirusa"), dopóki owe nie zostaną odinstalowane. Na razie ten "pomysł" na szczęście nie został wdrożony, bo to by oznaczało kupę problemów z prowadzeniem pomocy.

Adware zostało nabyte podczas pobierania "Download [HorribleSubs] Aldnoah Zero - 23 [1080p] Torrent - KickassTorrents" - to nie był plik zasadniczy tylko downloader, którego celem nadrzędnym była instalacja adware. I nadal adware aktywne w Autostarcie. Dodatkowo, adware przekonwertowało całą przeglądarkę Google chrome z wersji stabilnej do developerskiej i konieczna reinstalacja od zera. Do przeprowadzenia: 1. Akcje związane z Google Chrome: Wyeksportuj tylko zakładki do pliku. Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, przy deinstalacji wybierając Usuń także dane przeglądarki. Na razie nie instaluj Google Chrome. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download [HorribleSubs] Aldnoah Zero - 23 [1080p] Torrent - KickassTorrents.lnk [2015-03-24] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-129751774-4153141180-4247946054-1000\...\Run: [GoogleChromeAutoLaunch_CB77F52AAA5F9DDBE9C53CBF150DA9F5] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [812872 2015-04-13] (Google Inc.) CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe Task: {24A62637-9209-4FA7-B9F9-F45A0418633E} - System32\Tasks\{9353E4C1-3A6C-42AA-90E6-0650B9631C42} => pcalua.exe -a C:\Users\Lukasz\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {4AC72FA1-D4AB-4080-9CA7-7DAA26E46AA6} - System32\Tasks\{8178D53A-3AA8-4F03-B5C8-4F3C35D65508} => pcalua.exe -a C:\Users\Lukasz\Desktop\2058_Gta_Sa_Spolszczenie.exe -d C:\Users\Lukasz\Desktop Task: {6BDAB787-9226-4A7A-AF67-6B46AE3622BE} - System32\Tasks\{7D747848-A8C5-4E43-8855-6572EB5C6F55} => pcalua.exe -a "C:\Program Files (x86)\ActiveDiscount\ActiveDiscount.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {C35FDBF2-BE58-49E8-993D-6AEF8ED68FE4} - System32\Tasks\{4FF3210B-EE40-40A5-9E4C-1EAC3EC20C31} => pcalua.exe -a "D:\Program Files (x86)\TeamSpeak 3 Client\package_inst.exe" -d C:\Users\Lukasz\Desktop -c "C:\Users\Lukasz\Desktop\soundboard-1.0b5-win64.ts3_plugin" C:\Program Files (x86)\Bookmark Checker C:\Program Files (x86)\Google C:\Program Files (x86)\Smmoothview C:\Program Files (x86)\SystemHelp C:\Program Files (x86)\WhiteOffErsApp C:\ProgramData\{95b43f23-305c-c7a7-95b4-43f23305fc8c} C:\ProgramData\9426411726986672524 C:\Users\Lukasz\AppData\Local\Google C:\Users\Lukasz\AppData\Local\netz C:\Users\Lukasz\AppData\Roaming\appdataFr3.bin Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Punkt numer 3 w ogóle nie wykonany. FRST nic nie zrobił, a dlatego że zniszczyłeś formatowanie skryptu, przy przeklejaniu zostały usunięte wszystkie dwukropki i ukośniki. Przykładowy poprawny wpis w skrypcie: Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s .... u Ciebie po "zapisaniu" w Notatniku to sieczka: Reg reg query HKLMSOFTWAREMicrosoftInternet ExplorerSearchScopes s => Error: No automatic fix found for this entry. Punkty 3 i 4 do powtórki. Rozwiewając wątpliwości: płeć żeńska. - Na początek do czytania o metodach implementacji adware, bo zatwierdziłeś to własną ręką: KLIK. Tytułowe obiekty nie wleciały samoistnie, tylko zostały zainstalowane z innym softem lub downloaderem. - A co do antywirusa, nie mam żadnych szczególnych zaleceń, nie hołubię żadnej marki i piastuję przekonanie, że dowolny wybór z popularnych marek darmowych bądź komercyjnych będzie OK. Biedny student = np. darmowy Avast. Nadal (i to przy wyborze innego antywirusa też) będzie występować podatność na infekcje adware/PUP.

Te logi FRST nie są świeże. Zostały zrobione przed uruchomieniem AdwCleaner, który zmanipulował to co widać. FRST nadal pokazuje dwa aktywne sterowniki adware (silny związek z kłopotami sieciowymi i z pracą kompa), podczas gdy log AdwCleaner opowiada, że je usunięto. Podaj adekwatne raporty FRST z chwili obecnej. I wypowiedz się wyraźnie, czy po akcji z AdwCleaner nadal są problemy w systemie.

jessika Drobny komentarz: skoro usuwasz wpisy z Shortcut, to musisz ścieżki przetworzyć w pełny sposób, usuwając również docelowe ścieżki z (No File). FRST w ogóle tych wpisów nie usunął i nie dlatego, że ich nie było na dysku, tylko ze względu na to że podano złe ścieżki. Pomarańczowy wtręt nie może być w Fixlist: C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0001.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG.pdf (No File) A wszystkie skróty historii nawigatora Canon załatwiłaby jedna prosta komenda bez żadnego nakładu pracy z przetwarzaniem ścieżek: C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_*.lnk kasownik Podstawowy powód samodtwarzania po resecie ustawień to: - Aktywne rozszerzenie i jego reinstalator na poziomie rejestru. Reset ustawień nie usuwa rozszerzeń wtórnych, tylko je deaktywuje. To mogłoby wystarczyć, gdyby nie to że reset w ogóle nie usuwa wpisów z rejestru i aktualizacja z Google Chrome Web Store może nadpisać zresetowane ustawienia. - Czynna sychronizacja z serwerem Google, z serwera są przywracane zapamiętane ustawienia, czyszczenie lokalnie na nic. W takim przypadku resetuje się synchronizację przed podjęciem kroków w lokalnym Chrome. Z tym, że jeżeli Fix jakoby pomógł, to nic się nie zgadza, gdyż FRST ani nie został poinstruowany w kwestii numer jeden, ani nie rusza baz synchronizacji (żaden program usuwający tego nie robi, również AdwCleaner nie wyczyści stamtąd adware). Fix nie zawierał żadnych dodatkowych obiektów związanych z Chrome, choć była komenda EmptyTemp:, która czyści Cookies, Historię i HTML5 Local Storage Chrome. Jeśli problem nagle ustąpił, to nie widzę innego wyjaśnienia że opróżnienie (lub ... uszkodzenie) któregoś z magazynów miało coś do rzeczy. Ale: Nie sądzę, że problem jest rozwiązany w 100%, gdyż log FRST pokazuje obiekt wyglądający na powiązany z Yahoo. W wynikach wyszukiwania FRST stoi, że kiedyś AdwCleaner usuwał skrypt Yahoo z konkretnego folderu Nortona: C:\AdwCleaner\Quarantine\C\Users\Juleczka\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk\2014.7.12.12_0\SafeWeb\Scripts\Yahoo.js.vir Rozszerzenie o ID mkfokfffehpeedafpekjeddnmnjhmcmk to jest pasek Norton Identity Protection z funkcją SafeWeb, która jest powiązana z konkretnym dostawcą wyszukiwania i wygląda na to, że obecnie sponsorem jest Yahoo. To już usunięty przez AdwCleaner nieaktywny folder, tylko że w Google Chrome jest w pełni zainstalowany pasek Nortona o ID iikflkcanblccfahdhdonehdalibjnif, na dodatek są na poziomie rejestru owe reinstalatory ładujące go w kółko z Google Chrome Web Store: Chrome: ======= CHR Extension: (Norton Identity Safe) - C:\Users\Juleczka\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif [2014-10-25] CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx Działania pod kątem szczątków Nortona i innych: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx HKU\S-1-5-21-3676795516-2390992231-3671279854-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.1.0.18 FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1213153.dll No File FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-03-31] (Microsoft Corporation) Task: {0BC0B3DE-93C3-4EE5-AE90-63E3A3480FF1} - System32\Tasks\{CE89B7B2-909A-40F7-868B-7E8660E7B808} => pcalua.exe -a "C:\Users\Juleczka\Downloads\wlsetup-web (2).exe" -d C:\Users\Juleczka\Downloads Task: {2B49FFF3-5BC4-4C5A-B65C-E9830B25BFD3} - System32\Tasks\Norton 360\Norton Error Processor => C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\SymErr.exe Task: {79F2029F-B7AF-4C67-8F17-8A38826CF3AC} - System32\Tasks\{9DC21278-363B-4CDD-84AB-32847C27BBFB} => pcalua.exe -a "C:\Users\Juleczka\Downloads\Shockwave_Installer_Slim (1).exe" -d C:\Users\Juleczka\Downloads Task: {7D9BEF53-3BA5-4168-82C8-FE7CFD3EF49E} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\WSCStub.exe Task: {A7AB860B-5761-4F91-AEC4-4FA51A1CA145} - System32\Tasks\{16787399-11FF-4B00-A91F-D5FBB5CF4860} => Chrome.exe http://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {CA998441-84A7-430D-B8CC-C5ECFF00EA23} - System32\Tasks\Norton 360\Norton Error Analyzer => C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\SymErr.exe Task: {E78C2322-B219-45B1-85C7-0DB367C32A0E} - System32\Tasks\{89A2373E-5DF0-44B8-B332-8D14454B55F4} => pcalua.exe -a C:\Users\Juleczka\Desktop\wlsetup-web.exe -d C:\Users\Juleczka\Desktop Task: {F23B3ED5-2BB5-489D-9D4C-D673502F26B1} - System32\Tasks\{6E1A3841-5FF4-45F7-BE68-3D7CA3A8D99A} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="XM02-508X-MHAT-19WU-9Z3Z-0CH0-3U6E-85W5-MMHH-6647-1Z5L-7M8C-0U45-758P-0000" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton 360 C:\Program Files (x86)\Mozilla Firefox C:\Users\Juleczka\AppData\Local\Opera Software C:\Users\Juleczka\AppData\Roaming\Opera Software C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_*.lnk C:\Users\Juleczka\AppData\Roaming\Microsoft\Word\552640c533343304409191063414177\552640c533343.doc.lnk C:\Windows\System32\Tasks\Norton 360 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. przedstaw wynikowy fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Norton Identity Safe, o ile nadal będzie widoczny. 3. Ręcznie sprawdź co jest w poniższym folderze a jeśli nic ważnego, wywal: C:\Users\Juleczka\Documents\Symantec

Infekcja owszem jest, ale to nie pochodna pendrive lecz lewej paczki do Tibia (Tibia MULTI-IP Changer) - w starcie działa niejaki windate.exe (to jest logger). Przykład z forum jakie konsekwencje może mieć jego pobyt = włamanie na konto Tibia: KLIK. Akcje do wdrożenia: 1. Odinstaluj Ace Stream Media 3.0.1. To program z utajonym modułem adware: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: D:\Documents and Settings\Kuba i Michał\Menu Start\Programy\Autostart\windate.exe [2015-04-07] () HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k D:\Documents and Settings\All Users\Dane aplikacji\TEMP D:\Documents and Settings\Kuba i Michał\Pulpit\Programy i gry\Tibia MULTI-IP Changer.lnk D:\WINDOWS\*.lang D:\WINDOWS\memlist.dat D:\WINDOWS\Language.dat D:\WINDOWS\Language D:\WINDOWS\Last.dat D:\WINDOWS\libcurl.dll D:\WINDOWS\libeay32.dll D:\WINDOWS\os4.exe D:\WINDOWS\test.dat D:\WINDOWS\ipchanger.exe D:\WINDOWS\Ip Changer Updater.exe D:\WINDOWS\ssleay32.dll D:\WINDOWS\windate.exe D:\WINDOWS\zlib1.dll RemoveProxy: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceStream" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitTorrent DNA" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR11" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Sieci. Problem nie leży w infekcji, a z podanych tu raportów nic nie wynika pod kątem problemu zasadniczego. Na wszelki wypadek upewnij się, że problemu nie tworzy AVG 2015 tymczasowo na próbę go deinstalując. W przypadku braku rezultatów dostarcz raporty wymagane w dziale Sieci: KLIK. PS. Do usunięcia będą mini szczątki McAfee (pusty wpis startowy i martwe autoryzacje w Zaporze) i inne puste wpisy, ale to nie ma znaczenia w kontekście problemu i drobnicą ewentualnie zajmiemy się potem.

Wszystko zostało wykonane pomyślnie i ostatni log FRST nie pokazuje już żadnych widocznych obiektów malware. Natomiast pytaniem jest czy usługi automatyczne aktualizacje, Centrum zabezpieczeń i Zapora systemu Windows zostały celowo wyłączone? Kolejna porcja działań: 1. Usuń używane narzędzia za pomocą DelFix oraz wyczyść punkty Przywracania systemu: KLIK. 2. Przeprowadź skanowanie za pomocą Hitman Pro. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

Plik Fixlog.txt to wyniki przetwarzania skryptu. Natomiast plik Addition powstaje tylko podczas skanu, gdy zaznaczono stosowne pole w oknie. Przecież wszystko jest wyjaśnione w opisie obrazkowym w przyklejonym temacie. Ten wątek już zostaw. Natomiast: Zacznijmy od podstaw, temat był przetwarzany bez wiadomości podstawowej: jaki był / jest problem i czy on nadal występuje. Po co był uruchamiany ComboFix, bo nie robi się tego przecież bez powodu. Póki co, to tu na razie były usuwane głównie szczątki adware i jedyny obiekt z usuniętych, który mógł mieć widoczny wpływ na system (spowolnienie sieci i startu systemu), to sterownik {db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64.sys. Reszta to drobnica. Toteż objaśnij podstawowy powód załączania raportów do analizy.

Opisz jakie kroki podjąłeś. A dostarczone tu raporty FRST i tak nie były wiarygodne, zrobione z poziomu limitowanego konta (brak widoczności malware działającego na poziomie administracyjnym i na innym koncie): Ran by Panel (ATTENTION: The logged in user is not administrator) on PANEL02-PC on 30-04-2015 10:26:13 W systemie aż trzy konta, w tym dwa - i to te właśnie nie sprawdzone - to konta o uprawnieniach administracyjnych: ==================== Accounts: ============================= Duszek (S-1-5-21-2515843178-842938344-640950731-1002 - Administrator - Enabled) => C:\Users\Duszek Marcin (S-1-5-21-2515843178-842938344-640950731-1001 - Administrator - Enabled) => C:\Users\Marcin Panel (S-1-5-21-2515843178-842938344-640950731-1000 - Limited - Enabled) => C:\Users\Panel Jeśli chcesz się upewnić, dostarcz logi będąc zalogowanym po kolei na Duszku i Marcinie.

Fixlog był pusty, bo nic nie zostało wklejone, to nie był błąd FRST tylko błąd ręcznego zapisu pliku Fixlist. Nowy log FRST nie był potrzebny, by to potwierdzić. Pusty Fixlog zawsze oznacza, że żadnej treści nie było, to co miało się wykonać. I należy jeszcze wdrożyć małe poprawki, gdyż nadal są skróty adware w Autostarcie: Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AllroadAudi.zip.lnk [2015-01-28] ShortcutTarget: AllroadAudi.zip.lnk -> C:\ProgramData\{5fbdcd42-a6dd-ae98-5fbd-dcd42a6d350a}\AllroadAudi.zip.exe (No File) Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GIANTS_Editor_5.0.1_win32.rar.lnk [2015-04-18] ShortcutTarget: GIANTS_Editor_5.0.1_win32.rar.lnk -> C:\ProgramData\{7095f087-c8c0-d377-7095-5f087c8cc21f}\GIANTS_Editor_5.0.1_win32.rar.exe (No File) Zostały załączone do przetworzenia ich docelowe puste lokalizacje (ShortcutTarget), a nie skróty źródłowe (Startup). Puste = nie istnieją, FRST nic nie przetworzył, a gdyby nie były puste, to i tak nie zostałyby usunięte skróty źródłowe LNK, to są osobne elementy. 1. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AllroadAudi.zip.lnk [2015-01-28] Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GIANTS_Editor_5.0.1_win32.rar.lnk [2015-04-18] HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\Windows\system32\igfxpers.exe Task: {09771866-36A9-42C3-A0FA-6DED85C36765} - System32\Tasks\{90486521-F5F2-411D-AC67-80D673EF252C} => Iexplore.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar Task: {722B5947-33B8-4059-88E8-7E14C011E2A5} - System32\Tasks\{FA50D6ED-259F-48B6-87FB-1BEC2521DB47} => pcalua.exe -a D:\startmenu.exe -d D:\ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150310 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\Users\Mama\AppData\Local\Pokki C:\WINDOWS\SysWOW64\tmp*.tmp Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Z folderu C:\Users\user\Desktop\Marcin ... skasuj skrót instalacji adware Kontynuuj instalację GTA 4 - spolszczenie oraz puste skróty gier.

Temat przenoszę do Windows. Główny problem nie był związany z infekcją i to już rozwiązane. Ale są do wdrożenia poprawki - Firefox + Opera w ogóle nie są zainstalowane, a na dysku ich profile z adware ("Radio Canyon"). 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3349880804-1389414201-389946525-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=kingstonxsv300s37a120g_50026b7234073fd8 HKU\S-1-5-21-3349880804-1389414201-389946525-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=kingstonxsv300s37a120g_50026b7234073fd8 SearchScopes: HKU\S-1-5-21-3349880804-1389414201-389946525-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=kingstonxsv300s37a120g_50026b7234073fd8&ts=1417649375 SearchScopes: HKU\S-1-5-21-3349880804-1389414201-389946525-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=kingstonxsv300s37a120g_50026b7234073fd8&ts=1417649375 SearchScopes: HKU\S-1-5-21-3349880804-1389414201-389946525-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File BHO-x32: No Name -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> No File BHO-x32: Google Dictionary Compression sdch -> {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} -> C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll No File CustomCLSID: HKU\S-1-5-21-3349880804-1389414201-389946525-1001_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Admin\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File Task: {33F37068-CBA7-4884-A2BC-AE581B701D1B} - System32\Tasks\{092B9EDD-3C70-43D8-9BE8-5DA07442CDD1} => pcalua.exe -a E:\setup.exe -d E:\ S2 HPSLPSVC; C:\Users\Admin\AppData\Local\Temp\7zS7B0B\hpslpsvc64.dll [X] FirewallRules: [{FCFC09A6-1339-439F-A35B-55DA263A8B21}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS7B0B\hppiw.exe FirewallRules: [{4F51E780-A8D5-4F21-924F-E2384D683C09}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS7B0B\hppiw.exe FirewallRules: [{5CA00ECD-9F9F-46D9-8C05-548B2BB9CDC7}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS7DA9\hppiw.exe FirewallRules: [{A28B66EB-1EF6-438B-8DAD-37D9F5CEF112}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS7DA9\hppiw.exe C:\Program Files (x86)\Mozilla Firefox C:\Users\Admin\AppData\Local\Mozilla C:\Users\Admin\AppData\Local\Opera Software C:\Users\Admin\AppData\Roaming\Mozilla C:\Users\Admin\AppData\Roaming\Opera Software C:\Windows\System32\Tasks\Norton Identity Safe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitTorrent Sync DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Elite Unzip Search Scope Monitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome, by się pozbyć pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Brak trzeciego obowiązkowego pliku FRST Shortcut. W obu przeglądarkach nadal zainstalowane adware, na liście programów jest też SpyHunter z czarnej listy. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware Strong Signal, o ile to możliwe, bo są ślady naruszeń. - Stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 16 NPAPI, Adobe Reader XI - Polish, Bing Bar, McAfee Security Scan Plus, Spy Hunter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1 HKU\S-1-5-21-3544421248-1068503807-1887018813-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1 HKU\S-1-5-21-3544421248-1068503807-1887018813-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-3544421248-1068503807-1887018813-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} SearchScopes: HKLM -> {6A5D380C-8A37-42A7-B820-2D88B8E2C1E3} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3544421248-1068503807-1887018813-1001 -> DefaultScope {6A5D380C-8A37-42A7-B820-2D88B8E2C1E3} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3544421248-1068503807-1887018813-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3544421248-1068503807-1887018813-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-3544421248-1068503807-1887018813-1001 -> {6A5D380C-8A37-42A7-B820-2D88B8E2C1E3} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3544421248-1068503807-1887018813-1001\...\Run: [ares] => "C:\Program Files (x86)\Ares\Ares.exe" -h C:\Program Files (x86)\Strong Signal C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\{*}.log Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Strong Signal" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Strong Signal Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Yahoo oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Brak oznak czynnej infekcji. Są tylko jej pozostałości (zmodyfikowany plik HOSTS oraz historia podpinanych zainfekowanych urządzeń USB w MountPoints2) oraz drobne adware/PUP, ale to wszystko nie ma związku ze zgłaszanymi problemami. I tragiczny stan aktualizacji: Platform: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 (Default browser: FF) Nic tu nie wskazuje na ingerencje malware, a jedyne co mi się kojarzy w korelacji z Brontok, to plik autorun.inf zlokalizowany na tej partycji i zablokowany przez program antywirusowy (tylko, że tu brak AV...). Wg raportu D wygląda na partycję Recovery. Czy na pewno był dostęp do tej partycji wcześniej? Czy z poziomu Trybu awaryjnego można się dostać na ten dysk? ==================== Drives ================================ Drive c: () (Fixed) (Total:26.28 GB) (Free:11.01 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: (ACERDATA) (Fixed) (Total:26.66 GB) (Free:25.18 GB) FAT32 ==================== MBR & Partition Table ================== Disk: 0 (Size: 55.9 GB) (Disk ID: 34FE34FD) Partition 1: (Not Active) - (Size=2.9 GB) - (Type=12) Partition 2: (Active) - (Size=26.3 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=26.7 GB) - (Type=OF Extended) Na razie działania "kosmetyczne": 1. Bardzo wolny system: był uruchamiany GMER i jest w Dzienniku zdarzeń poniższy błąd związany z brakiewm odpowiedzi od kontrolera dysków. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. System errors: ============= Error: (05/03/2015 11:49:12 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort0 2. Przez Dodaj/Usuń programy odinstaluj śmieci i stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 8 - Polish, Adobe Reader 8.1.2 Security Update 1 (KB403742), Chinese Traditional Fonts Support For Adobe Reader 8, Google Toolbar for Internet Explorer, Java™ 6 Update 5, Java™ 6 Update 7, MediaBar 2.0, Microsoft Silverlight, Mozilla Firefox (3.0.19), OpenOffice.org 3.0 Beta, Winamp Toolbar for Firefox, Winamp Toolbar for Internet Explorer. Ten Firefox jest tak stary, że aż szok. Jeśli jest używany, przed usunięciem posłuż się MozBackup, by skopiować zakładki + hasła (ale nic więcej). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKU\S-1-5-21-57989841-329068152-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/ CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path S2 AVUpdate; C:\PROGRA~1\ArcaBit\ARCAUP~1\update.exe [X] U2 CertPropSvc; No ImagePath S1 mailKmd; No ImagePath S1 Wbutton; \SystemRoot\system32\drivers\Wbutton.sys [X] U1 WS2IFSL; No ImagePath DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Documents and Settings\Edytka\Dane aplikacji\Smiley.ico C:\Documents and Settings\Edytka\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt C:\Documents and Settings\Edytka\Ustawienia lokalne\Dane aplikacji\ListHost9.txt RemoveDirectory: C:\Recycler RemoveDirectory: D:\Recycled CMD: netsh firewall reset CMD: dir /a C:\ CMD: dir /a D:\ Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

jessika & Zappa Na obrazku widać, że są dwa połączenia: Karta sieciowa 1394 (to urządzenie wyłączone) oraz Połączenie lokalne urządzenia Realtek PCIe GBE Family (to jest właściwe urządzenie o które tu chodzi). Jano ComboFix resetuje wszystkie ustawienia sieci, co m.in. oznacza wymazanie ustawień serwerów. Została zrobiona kopia zapasowa tych ustawień w C:\Qoobox\Quarantine\Registry_backups\tcpip.reg. Niestety usunąłeś tę kopię uruchamiając proces deinstalacji ... Jest jednak dodatkowa całościowa surowa kopia rejestru: 2015-04-29 02:15 - 2015-04-29 02:34 - 00000000 ____D () C:\WINDOWS1\erdnt Wyekstraktuj z niej ustawienia: 1. Do Notatnika wklej: Reg: reg load HKLM\TEMP C:\WINDOWS1\ERDNT\Hiv-backup\SYSTEM Reg: reg export HKLM\TEMP\ControlSet001\services\Tcpip "C:\Documents and Settings\User\Pulpit\Tcpip.reg" Reg: reg unload HKLM\TEMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt + na Pulpicie Tcpip.reg. Dostarcz pierwszy plik, natomiast: 2. REG wymaga obróbki. Otwórz go do edycji w Notatniku, CTRL+H i "Zamień wszystko": HKEY_LOCAL_MACHINE\TEMP ... na: HKEY_LOCAL_MACHINE\SYSTEM Zapisz zmiany, zaimportuj plik do rejestru i zresetuj system. Panel sterowania > System > Zaawansowane > Uruchamianie i odzyskiwanie > Edytuj, co otworzy plik C:\boot.ini do edycji. Usuń z niego zakreślone linie i zapisz zmiany: [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS1 [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS1="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Takie losowe 7 znakowe suffiksy dodaje CTB-Locker, dane są nie do odszyfrowania: KLIK. Możesz się jeszcze upewnić jaką flagę wykrywa ID Tool. Będę usuwać pliki z sufiksami *.ulikqhb, więc te istotne sobie skopiuj gdzie indziej, a reszta z czeluści systemowych zostanie skasowania poniższym skryptem. Sprawy poboczne również do wykonania. Czyli: 1. Przez Dodaj/Usuń programy odinstaluj archaizm Google Desktop. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-329068152-1284227242-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-329068152-1284227242-839522115-1003\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 SearchScopes: HKU\S-1-5-21-329068152-1284227242-839522115-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://supertoolbar.ask.com/redirect?client=ie&tb=ARS&o=15084&src=crm&q={searchTerms}&locale=en_US SearchScopes: HKU\S-1-5-21-329068152-1284227242-839522115-1003 -> {FF8821A1-C982-40C4-9910-8D0405FDAC31} URL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 Toolbar: HKU\S-1-5-21-329068152-1284227242-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin HKU\.DEFAULT: @tools.google.com/Google Update;version=3 -> C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.22.3\npGoogleUpdate3.dll [2014-02-07] (Google Inc.) FF Plugin HKU\.DEFAULT: @tools.google.com/Google Update;version=9 -> C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.22.3\npGoogleUpdate3.dll [2014-02-07] (Google Inc.) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S2 MieszczaninHASPService; E:\ZUI Mieszczanin\Programy\KeyServer.exe [X] U2 CertPropSvc; No ImagePath C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Desktop Search" /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f CMD: netsh firewall reset CMD: attrib -r -h -s C:\*.ulikqhb /s CMD: del /q /s C:\*.ulikqhb Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

kosa351, odpowiedź na pytanie co to za infekcja otrzymałeś, odszyfrowanie danych nie jest możliwe, ale należy się upewnić czy aktywne komponenty infekcji nie grasują, a do tego potrzebne raporty (KLIK).

Jak już powiedziane, odszyfrowanie danych niestety nie jest możliwe: KLIK. Ale należy się upewnić czy nie ma aktywnych śladów infekcji. SpyHunter to program z czarnej listy, z daleka od tego. "Addict thing" to wcale nie jest ta infekcja szyfrująca, lecz adware nie powiązane wcale z tematem. Są więc ogromne wątpliwości co ten dziadoski SpyHunter w zasadzie robił, brak raportu z niego. Nie ma tu żadnego dopwodu, że infekcja w pełni usunięta, gdyż brak obowiązkowych raportów: KLIK. Uzupełnij wszystkie wymagane dane.

Poprzednie zadania wykonane. Ważne zaszyfrowane dane skopiuj na jakiś izolowany nośnik, szans na odszyfrowanie obecnie brak, ale na wszelki wypadek to zrób. Będę masowo usuwać wszystkie pliki z sufiksami *_fudx@lycos.com: Otwórz Notatnik i wklej w nim: CMD: attrib -r -h -s C:\*_fudx@lycos.com /s CMD: del /q /s C:\*_fudx@lycos.com HKLM\...\Run: [GEST] => = HKLM\...\Run: [Disc Detector] => C:\Program Files\Creative\ShareDLL\CtNotify.exe HKLM\...\Run: [CTAvTray] => C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\McAfee C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan C:\Documents and Settings\All Users\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Maciek\Dane aplikacji\PerformerSoft C:\Documents and Settings\Maciek\Dane aplikacji\Sun C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Chromium C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Lollipop C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\Java C:\Program Files\McAfee Security Scan C:\Program Files\Mobogenie C:\Program Files\Optimizer Pro C:\Program Files\SoftEther VPN Client C:\Program Files\Common Files\Java Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

W Firefox jest rozszerzenie Roll Around. Do przeprowadzenia następujące akcje; 1. Przez Panel sterowania odinstaluj zbędniki: Akamai NetSession Interface, McAfee Security Scan Plus. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = SearchScopes: HKU\S-1-5-21-3906198643-2151299363-1251718266-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3906198643-2151299363-1251718266-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3906198643-2151299363-1251718266-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = BBHO: No Name -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File Task: {3042C6F7-C81A-4884-A358-8CD65D7D7150} - System32\Tasks\{7A25796B-3F1D-46AD-A4E0-393211C6BFBB} => pcalua.exe -a "D:\Program Files\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=all Task: {6C0CE21F-A52A-47B0-A420-503871E63598} - System32\Tasks\{02E8244A-4E0F-412A-92DA-EBCD1507EB4F} => pcalua.exe -a "C:\Program Files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="XM2C-50A9-HH4M-0ZM8-4X06-9P25-5A46-618P-AH19-6647" Task: {8DBFA5C8-E8CA-4ECB-8C29-125C4A4AF45F} - System32\Tasks\{8ED4AE12-097D-43C0-8793-043A7A9B8556} => pcalua.exe -a C:\Users\Mirek\Downloads\AutodeskDownloadManagerSetup.exe -d C:\Users\Mirek\Downloads Task: {B6FA9C7D-F968-456C-9570-BA94EE656EE8} - System32\Tasks\{EF77839D-E448-4709-A136-D2FF24748CEA} => Firefox.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsProgressBar Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

SpyHunter i YAC to wątpliwe programy. Do przeprowadzenia nastyępujące operacje: 1. Przez Panel sterowania odinstaluj adware Round World, Yahoo! Search oraz stare wersje i zbędniki Adobe Flash Player 16 NPAPI, java 7 Update 79, McAfee Security Scan Plus. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie QuickJava trzeba będzie przeinstalować. menu Historia > Wyczyść historię przeglądania 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {237a87b5-881c-4fd8-b80a-c3b471ff75d7}t; C:\WINDOWS\System32\drivers\{237a87b5-881c-4fd8-b80a-c3b471ff75d7}t.sys [55824 2015-03-26] () [File not signed] R1 {3788502c-c1e8-40a8-8914-655def81ee5b}Gt; C:\WINDOWS\System32\drivers\{3788502c-c1e8-40a8-8914-655def81ee5b}Gt.sys [55824 2015-02-19] () [File not signed] R1 {72502b1b-b916-4994-814e-c516f9f681b2}Gt; C:\WINDOWS\System32\drivers\{72502b1b-b916-4994-814e-c516f9f681b2}Gt.sys [55824 2015-02-28] () [File not signed] R1 {8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt; C:\WINDOWS\System32\drivers\{8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt.sys [55824 2015-02-22] () [File not signed] R1 {8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gt; C:\WINDOWS\System32\drivers\{8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gt.sys [55824 2015-03-08] () [File not signed] R1 {97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gt; C:\WINDOWS\System32\drivers\{97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gt.sys [55824 2015-03-02] () [File not signed] R1 {b4e11afe-4c35-4044-965f-6641cc18f62e}Gt; C:\WINDOWS\System32\drivers\{b4e11afe-4c35-4044-965f-6641cc18f62e}Gt.sys [55824 2015-02-19] () [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150219 HKU\S-1-5-21-1801674531-1647877149-1606980848-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://q.search-simple.com/?m=tab&affID=na" SearchScopes: HKU\S-1-5-21-1801674531-1647877149-1606980848-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=pr_378592e5-7eef-4407-b0be-e1db2e810c3d&q={searchTerms} SearchScopes: HKU\S-1-5-21-1801674531-1647877149-1606980848-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=pr_378592e5-7eef-4407-b0be-e1db2e810c3d&q={searchTerms} C:\Program Files\Enigma Software Group C:\Program Files\Pay-By-Ads C:\Program Files\Round World C:\WINDOWS\455F074C814E4520B69B5584BD90400C.TMP C:\WINDOWS\System32\drivers\{237a87b5-881c-4fd8-b80a-c3b471ff75d7}t.sys C:\WINDOWS\System32\drivers\{3788502c-c1e8-40a8-8914-655def81ee5b}Gt.sys C:\WINDOWS\System32\drivers\{72502b1b-b916-4994-814e-c516f9f681b2}Gt.sys C:\WINDOWS\System32\drivers\{8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt.sys C:\WINDOWS\System32\drivers\{8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gt.sys C:\WINDOWS\System32\drivers\{97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gt.sys C:\WINDOWS\System32\drivers\{b4e11afe-4c35-4044-965f-6641cc18f62e}Gt.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.