picasso

Jessika, systemowy folder to C:\ProgramData\Microsoft. Cytowany to śmieć, ale tu nie powinien mieć znaczenia. Czy MBAM był zainstalowany przed infekcją, czy dopiero pojawił się podczas czyszczenia? Czy przekierowania występują tylko w Google Chrome ale nie we wbudowanych przeglądarkach Microsoftu (Edge lub Internet Explorer)? ----> Jeśli problem tyczy też przeglądarek Microsoftu, cache DNS może być zainfekowane. ----> Jeśli problem tyczy tylko Google Chrome, to któreś z rozszerzeń może być zmodyfikowane. Z niedomyślnych elementów widać tylko jedno: CHR Extension: (Speed Dial 2 - New tab) - C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2017-09-06] W jaki sposób była robiona reinstalacja Chrome, tzn: czy podczas deinstalacji zaznaczyłeś opcję "Usuń dane przeglądania" (czyli profil), czy używasz konta Google do synchronizacji danych, a jeśli tak to czy czyściłeś synchronizację (to nie jest reset ustawień na poziomie lokalnym)?

Jeśli chodzi o Fix FRST, to wykonany. Natomiast nie widzę zmian w Google Chrome: nadal preferencje adware oraz zainstalowany felerny Video Downloader professional.

Temat przenoszę do działu Windows, to nie jest problem infekcji. Z raportów nic zupełnie nie wynika. Jednak podejrzenia budzi Kaspersky Anti-Virus - najbardziej rozbudowany obiekt startowy (multum usług i sterowników). Rozpocznij od sprawdzenia tego tropu. Rozumiem, że: nie masz konta Microsoftu lub nie pamiętasz do niego hasła (to alternatywna opcja logowania, gdy nie pamiętasz PIN, pozwala dostać się do Ustawień i zresetować PIN), zawartość komputera niedostępna. W tym przypadku możesz z poziomu instalacyjnego DVD utworzyć nowe konto lokalne, by się na nie zalogować i dostać do danych. Instrukcje tu: KLIK.

Nic podejrzanego. W związku z tym nie za bardzo mam tu teraz pole manewru, brak oznak infekcji na koncie Michal. Czy przed ponownym pojawianiem się minera uruchamiałeś jakiś konkretny plik / program?

Minery Bitcoinów są charakterystyczne dla uruchomienia jakiegoś pliku (np. cracka), nie wlatują samoistnie poprzez sieć czy na skutek zmiany ustawień Windows. W raportach FRST nic nie widzę, ale na wszelki wypadek podaj dane tego zaplanowanego zadania DataUsageLiveTileTask (kieruje na plik MS, ale FRST obcina zbyt dużo Argumentów komendy i nie wiadomo jakie są tam parametry) Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: type C:\Windows\System32\Tasks\S-1-5-21-1947299008-2126829087-4161886784-1001\DataSenseLiveTileTask Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Brakuje nowego skanu Addition.txt. Dołącz.

Temat przenoszę do właściwego działu Windows, nie ma nic wspólnego z infekcją. Nadal brakuje raportu FRST Addition z konta dell, to jest inny kontekst uprawnień (administrator) i pokazuje więcej niż log limitowanej Martyny. Ten log dostarczysz już jednak po poniższych działaniach. Czy ten błąd się pojawia po wyborze konkretnej opcji w ustawieniach czy też nie ma znaczenia które z ograniczeń chcesz zaaplikować? Z raportów nic nie wynika, ale na początek zweryfikuję co jest ustawione w GPO: GroupPolicy\User: Ograniczenia <==== UWAGA GroupPolicyUsers\S-1-5-21-2699644351-2892152953-1369547661-1002\User: Ograniczenia <==== UWAGA GroupPolicyUsers\S-1-5-21-2699644351-2892152953-1369547661-1001\User: Ograniczenia <==== UWAGA Chodzi o pierwszą linię, dwie pozostałe mają czytelne SID należne do pozostałych kont (Nikolas i Paulina) i powinny to być ekwiwalenty dla tych zasad: HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 HKU\S-1-5-21-2699644351-2892152953-1369547661-1002\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-2699644351-2892152953-1369547661-1002\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 Odrębna sprawa to poniższe błędy, które też wymagają naprawy, ten błąd BCD to prawdopodobnie wynik uszkodzenia Zmiennych środowiskowych: UWAGA: ==> Nie można uzyskać dostępu do BCD. Dziennik Aplikacja: ================== Error: (09/10/2017 02:42:48 PM) (Source: System Restore) (EventID: 8211) (User: ) Description: Nie można utworzyć zaplanowanego punktu przywracania. Informacje dodatkowe: (0x80042318). Error: (09/10/2017 02:42:48 PM) (Source: System Restore) (EventID: 8193) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\Windows\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation; Opis = Zaplanowany punkt kontrolny; Błąd = 0x80042318). Error: (09/10/2017 02:42:48 PM) (Source: VSS) (EventID: 12347) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: Wykryto niespójność wewnętrzną podczas próby nawiązania kontaktu z modułami zapisującymi usługi kopiowania w tle. Moduł zapisujący rejestru nie odpowiedział na zapytanie z usługi VSS. Sprawdź, czy Usługa zdarzeń i Usługa kopiowania woluminów w tle działają prawidłowo oraz czy w dzienniku zdarzeń aplikacji nie występują inne zdarzenia. Operacja: Zbieranie danych modułu zapisującego Wykonywanie operacji asynchronicznej Kontekst: Kontekst wykonywania: Requestor Stan bieżący: GatherWriterMetadata Dziennik System: ============= Error: (09/10/2017 06:11:50 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (09/10/2017 06:11:50 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (09/10/2017 06:11:51 PM) (Source: WMPNetworkSvc) (EventID: 14332) (User: ) Description: Nie można poprawnie uruchomić usługi „WMPNetworkSvc”, ponieważ funkcja CoCreateInstance(CLSID_UPnPDeviceFinder) napotkała błąd „0x8002801d”. Sprawdź, czy usługa UPnPHost jest uruchomiona i czy składnik UPnPHost systemu Windows jest zainstalowany właściwie. Error: (09/10/2017 06:11:50 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: Chmura protokołu rozpoznawania nazw równorzędnych nie została uruchomiona, ponieważ tworzenie tożsamości domyślnej nie powiodło się; kod błędu: 0x80630801. Czyli na razie tylko pobór danych, naprawa niektórych błędów oraz poboczne kosmetyczne działania (usunięcie pustych wpisów). 1. Zaloguj sę na konto dell. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: StartBatch: set type C:\Windows\system32\GroupPolicy\User\Registry.pol vssadmin list writers reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {49606DC7-976D-4030-A74E-9FB5C842FA68} /f EndBatch: HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Run: [Wisdom-soft AutoScreenRecorder 3.1 Free] => 0 S2 SKLService64; C:\Program Files (x86)\KAward64\aklservice64.exe [X] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com BHO: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku BHO: Brak nazwy -> {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -> Brak pliku BHO-x32: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - Brak pliku Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Brak pliku Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Brak pliku C:\ProgramData\Media Center Programs\*.lnk C:\Users\dell\AppData\Local\42747051538627b9063d49.45359236 C:\Users\dell\AppData\Local\nszC05.tmp C:\Users\dell\AppData\Roaming\RKRPK C:\Users\Martynaa\Downloads\fotoshopy XD.lnk C:\Users\Nikolas\Desktop\Kontynuuj instalację Poly Bridge.lnk C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* DisableService: WMPNetworkSvc Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy skan FRST z poziomu konta dell, ale dostarcz tylko log Addition. Zaprezentuj też plik fixlog.txt.

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST i G:\INSTALKI\FRST oraz wszystkie logi FRST utworzone na obu kontach. 2. Zaktualizuj Java: KLIK. Stara wersja w systemie: Java 8 Update 72 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218072F0}) (Version: 8.0.720.15 - Oracle Corporation)

Skrypt pomyślnie wykonany, infekcja nie jest już czynna. Ostatni skrypt do FRST: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\dylaN\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\Michal\AppData\Roaming\Autodesk\Java Update Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

1. To raczej wyglądało jak pozostałość po większej infekcji. Natomiast to co znalazł MBAM nie jest ważne. Wykrył rozszerzenie adware w martwym profilu Google Chrome. Chrome odinstalowane i wcześniej w skrypcie dostawiłam puste skróty i inne elementy. Usuń cały katalog: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Marcin\AppData\Local\Google RemoveDirectory: C:\Users\Marcin\Desktop\Stare dane programu Firefox Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Swoją drogą, jest tu ogromna ilość kont użytkowników, na razie był sprawdzany tylko Marcin: Bogusia (S-1-5-21-1244533767-2505366996-2244784048-1004 - Administrator - Enabled) => C:\Users\Bogusia eyik (S-1-5-21-1244533767-2505366996-2244784048-1017 - Administrator - Enabled) => C:\Users\eyik Grzegorz (S-1-5-21-1244533767-2505366996-2244784048-1003 - Administrator - Enabled) => C:\Users\Grzegorz Marcin (S-1-5-21-1244533767-2505366996-2244784048-1000 - Administrator - Enabled) => C:\Users\Marcin yyyy (S-1-5-21-1244533767-2505366996-2244784048-1018 - Administrator - Enabled) => C:\Users\yyyy Logi pobrane z konkretnego konta pokazują inne profile przeglądarek i inne wpisy strony HKCU/HKU.

Tak jak mówiłam, na koncie Michal szczątki malware w Harmonogramie, ale na koncie dylaN malware jest aktywne, to ten Bitcoin Miner: Task: {4463A011-7AFE-4A5D-AA3C-692483CC4F10} - System32\Tasks\System\SystemTask => C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe [2017-06-30] () Czyszczenie z poziomu konta dylaN: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {0FC1AF37-ABB7-48A3-B261-F49572751154} - System32\Tasks\Driver Booster Scheduler => D:\Programy\Driver Booster\4.5.0\Scheduler.exe Task: {252EDC30-46C7-4B1F-A403-721103DCD3C8} - System32\Tasks\Java Update Registration => C:\Users\Michal\AppData\Roaming\Autodesk\Java Update\jaureg.exe Task: {4463A011-7AFE-4A5D-AA3C-692483CC4F10} - System32\Tasks\System\SystemTask => C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe [2017-06-30] () Task: {5E3A2920-77A9-489C-9930-46EF817F3D92} - System32\Tasks\InstallShield Update Service => C:\Users\Michal\AppData\Local\Ubisoft\ISSCH\issch.exe Task: {95212754-04D5-4F73-982F-76B79FD03CD6} - \DefenderUpdate -> Brak pliku <==== UWAGA Task: {A3659E65-6528-4958-84B4-354A7587ACC0} - System32\Tasks\Driver Booster SkipUAC (Michal) => D:\Programy\Driver Booster\4.5.0\DriverBooster.exe Task: {FB5C6DD6-DD63-47E2-9BBC-7277C6D67553} - \System\SystemCheck -> Brak pliku <==== UWAGA S3 GPUZ; C:\Users\Michal\AppData\Local\Temp\GPUZ.sys [27008 2017-09-08] () <==== UWAGA DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins GroupPolicy: Ograniczenia <==== UWAGA C:\ProgramData\Driver-Soft C:\ProgramData\DriverGenius C:\ProgramData\IObit C:\ProgramData\ProductData C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe C:\Users\Michal\AppData\LocalLow\IObit C:\Users\Michal\AppData\Roaming\IObit C:\WINDOWS\IObit C:\Windows\System32\Tasks\System Folder: C:\Users\Michal\AppData\Roaming\Autodesk\Java Update Folder: C:\Users\dylaN\AppData\Roaming\Macromedia Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Czy instalowałeś jakiegoś cracka? W raporcie conajmniej jeden (KMS-R@1nHook.exe), co może sugerować że używałeś więcej takich wynalazków, jeden z nich mógł mieć zaszytego trojana. Jeśli chodzi o jawne malware, to nie widzę nic aktywnego, tylko szczątki (kilka plików w root Program files i Debugger kierujący na svchost.exe) plus pozostałości adware w Google Chrome. Pod kątem czyszczenia tych odpadków oraz innych pustych wpisów i skrótów: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpGvurF9zzOIyDLu5uOmkinzBq1bnef-187MIGsU70JH1D5wQ8I1HPbbgiU8eHg-HfpJ0HIqMd_gZGn8-WAp3VhEmC5jRDLM2fUkqlmJ-GJD9msztx10H29dePQibZsKT_lE7bwv8xRM_Zb83FdFuNYrCecXQcI, CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1451928047&z=4d8f4b76957462447566824gbz9wag6t3o7b1eaz9m&from=cor&uid=st250dm000-1bd141_5vy93k1pxxxx5vy93k1p" FF NewTab: Mozilla\Firefox\Profiles\x5pju775.default -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} URLSearchHook: HKLM-x32 -> Default = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe GroupPolicy: Restriction GroupPolicyScripts: Restriction GroupPolicyScripts\User: Restriction CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\Run: [AdobeBridge] => [X] S3 Hamachi; C:\Windows\system32\DRIVERS\Hamdrv.sys [45680 2017-02-27] (LogMeIn Inc.) MSCONFIG\Services: GalaxyClientService => 3 MSCONFIG\Services: GalaxyCommunication => 3 MSCONFIG\Services: Hamachi2Svc => 2 MSCONFIG\Services: iPod Service => 3 MSCONFIG\Services: LMIGuardianSvc => 2 MSCONFIG\Services: TunnelBearMaintenance => 2 HKLM\...\StartupApproved\Run: => "CMD" HKLM\...\StartupApproved\Run: => "iTunesHelper" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" HKLM\...\StartupApproved\Run32: => "AdobeAAMUpdater-1.0" HKLM\...\StartupApproved\Run32: => "PlaysTV" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "GalaxyClient" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "screenSHU" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "TunnelBear" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "Plex Media Server" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "MyImgur" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "AdobeBridge" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Program Files (x86)\5ef7ea3b.tmp C:\Program Files (x86)\7dcianqrua.dat C:\ProgramData\mntemp C:\ProgramData\rxsmznjf.zcp C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic II\Usu* - Noc Kruka.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Massive\Native Instruments Homepage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\AT&T WorldNet.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Bot Commands.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Check for Quake III Arena Updates.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Help System.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Play Quake III Arena.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Q3A Community C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The You Testament C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Valendor PL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot Beta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot\WindBot 11 Beta.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot\WindAddons\Wind Addons.lnk C:\Users\nikodem\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\nikodem\AppData\Roaming\system.xml C:\Users\nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\18c7e66df9434f18\TibiaME MMO.lnk C:\Users\nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Gothic\GOTHIC2 - Odyseja - 'Pakiet systemowy' C:\Users\nikodem\Documents\XenoScan-master\bin\test.lnk C:\Windows\system32\drivers\Hamdrv.sys File: C:\Users\nikodem\AppData\Local\slack\Update.exe CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj rozszerzenie Video Downloader professional. To rozszerzenie znane ze zintegrowanego adware. Np. powodowało taki problem z naszym forum: KLIK. Są też rozszerzenia z jednej stajni (maskowane jako różni producenci): Flash Video Downloader + Speed Dial [FVD] - one także pochodzą od wątpliwego producenta, który lubił wstawiać w rozszerzeniach adware, obecnie nie wiem czy te rozszerzenia są czyste Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Problemem są zasady grupy blokujące funkcje Chrome. Jeśli chodzi o reklamy, to jedyne co się rzuca w oczy to podejrzane rozszerzenie SoccerSpecific (nie ma go w Chrome Web Store). Przy okazji do usunięcia będą różne szczątki programowe oraz korygowany poniższy błąd: Dziennik System: ============= Error: (09/07/2017 06:29:05 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (09/07/2017 06:29:05 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Działania do przeprowadzenia: 1. Odinstaluj stare wersje (luki bezpieczeństwa): Adobe AIR, Adobe Download Assistant, Adobe Shockwave Player 12.0, Java 8 Update 101 (64-bit), Java 8 Update 101, Java 8 Update 111 (64-bit), Java SE Development Kit 8 Update 111 (64-bit), Windows Live ID Sign-in Assistant. Ponadto, coś jest nie tak ze Skype + Skype Click to Call, widnieje jako zainstalowany, podczas gdy w raportach masa odczytów "brak pliku", więc usuń go również i na razie nie instaluj ponownie (poniższy skrypt usuwa szczątki). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome <==== UWAGA GroupPolicy\User: Ograniczenia <==== UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA CHR HKU\S-1-5-21-2717253058-3565486889-724126867-1000\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.sweetpacks-search.com/?barid=&src=10&&st=23" CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono> URLSearchHook: HKLM-x32 -> Domyślne = {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} URLSearchHook: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> Domyślne = {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861918154947626&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861918155103627&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2717253058-3565486889-724126867-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-2717253058-3565486889-724126867-1000\...\Run: [Skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun HKU\S-1-5-18\...\Run: [Skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" R2 PCToolsSSDMonitorSvc; C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe [794272 2012-08-21] (PC Tools) S3 Desura Install Service; C:\Program Files (x86)\Common Files\Desura\desura_service.exe [X] S3 IDriverT; "C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe" [X] S3 w7Svc; E:\webcam 7\webcam7.Service.exe /startedbyscm:5053B757-40E35B3B-webcam7SRV [X] <==== UWAGA MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\startupreg: ALLPlayer WiFi Remote => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe MSCONFIG\startupreg: ALLUpdate => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" MSCONFIG\startupreg: ChomikBox => C:\Program Files (x86)\ChomikBox\chomikbox.exe MSCONFIG\startupreg: Clownfish => "C:\Program Files (x86)\Clownfish\Clownfish.exe" MSCONFIG\startupreg: Denzi => C:\Program Files (x86)\Denzi\Launcher.bat --wait MSCONFIG\startupreg: Facebook Update => "C:\Users\Nexa\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver MSCONFIG\startupreg: Napisy24Update => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" MSCONFIG\startupreg: Skype => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun MSCONFIG\startupreg: SSDMonitor => C:\Program Files (x86)\Common Files\PC Tools\sMonitor\SSDMonitor.exe MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" Task: {01836B17-9FF4-463B-9FDA-931E8CAD83B5} - System32\Tasks\{D80316E3-93E0-49FC-9B4A-5499A8B7DF75} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Desktop\dxwebsetup(pobierz.pl).exe -d C:\Users\Nexa\Desktop Task: {097877E8-C6E8-439C-90BA-31BAE26C7A2B} - System32\Tasks\{5F9C9B7C-E74B-4406-8B0A-5A3B0FFE1231} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.6.11.105/pl/abandoninstall?page=tsProgressBar Task: {0C7BC51A-16FA-4B4A-87A2-2E79058CE454} - System32\Tasks\{778BD6DA-0F82-49A0-B408-9D29C1C29477} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {14AF14AE-AC74-4093-AA2F-E3704E90FA8A} - System32\Tasks\GadgetBox UpdaterUpdaterTask{843FEC12-C525-4EE4-A652-619A51C5CF03} => C:\ProgramData\Premium\GadgetBox Updater\GadgetBox Updater.exe <==== UWAGA Task: {1A31F3E5-A834-47CE-904D-08E28842F2F1} - System32\Tasks\{24CEF27D-2B52-43A3-AC5C-169C5A797BB3} => C:\Users\Nexa\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe Task: {353371D6-E027-4F1A-9873-BBA272C384D1} - System32\Tasks\update-S-1-5-21-2717253058-3565486889-724126867-1000 => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: {3723F5F5-6470-40AC-B8D0-F8098A0EDBF3} - System32\Tasks\{ABA96075-ABF9-4C28-95F2-AD4F5D7C55A5} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {466D2590-C398-4F1C-B459-4233AB59D838} - System32\Tasks\{A328AB4E-6E47-4430-99EE-6A2384DA3D9D} => C:\Users\Nexa\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe Task: {5B8FA0E3-4619-44D1-8701-6A9242299B09} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: {5D5A5364-3F40-4DEB-BB6B-DEEC572E21BD} - System32\Tasks\{7D6A4CB8-0F1F-4FEE-89A5-66BFA2A15061} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\AppData\Local\Temp\{4146CD70-9C94-446B-90DF-8F0713B97520}\adobeshockwavextrabundle.exe -d "C:\Program Files (x86)\Google\Chrome\Application\20.0.1132.57" -c /xtrabundle=SwaStrm <==== UWAGA Task: {61A9BBC4-4F01-4EDA-B8FE-850A7B6D8F2F} - System32\Tasks\{62A4634F-A112-4FE1-A976-5E9509023F91} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Piter ,,,,,,\piotr.trojnar@neostrada.pl\PlanoPro.exe" -d "C:\Users\Nexa\Desktop\Piter ,,,,,,\piotr.trojnar@neostrada.pl" Task: {9A0E4DEB-FFAE-43B2-A70C-70FF836DA836} - System32\Tasks\RMAutoUpdate => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: {9B30A3B4-0C65-4825-A0C7-1BF43955563D} - System32\Tasks\{D5F2D09D-9B0A-4BBD-8DD1-8C8D7D3BE2B1} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\AppData\Local\Temp\Temp1_InstallerR12.043DEMO.zip\setup.exe <==== UWAGA Task: {B571825C-9ED8-43A8-A289-451737F7A7C5} - System32\Tasks\{E8555CAC-6232-498C-8978-131EA7DA0816} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Downloads\HamachiSetup-1.0.0.50-en.exe -d C:\Users\Nexa\Downloads Task: {BB5E5E6A-5AC8-4301-85D0-DD79F6F39824} - System32\Tasks\{CF423214-C7AA-49C5-B745-605150E21B89} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/5.10.11.116/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {BCE7BBED-A05A-4CCB-905C-3C8604DE3574} - System32\Tasks\{00820018-BB0C-4A9B-959F-10CFDF91E66F} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe -d C:\Users\Nexa\Desktop\szczepan Task: {BF57A5AB-BC79-41CB-A5B2-B9CCC5211D97} - System32\Tasks\{8E63DAF6-DBC6-4D45-A5E7-764F5AA6E41C} => C:\Users\Nexa\Desktop\LogMeInHamachi_downloader-9kSe62Wh.exe Task: {C49E3095-6FA5-4894-BA71-EC9B59649DAE} - System32\Tasks\{73CA13D0-D61B-4CE7-A1FB-7DF0E7140F15} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Symulator Farmy 2011\GDFInstall.exe" -d "C:\Users\Nexa\Desktop\Symulator Farmy 2011" Task: {C56B889C-C9CA-4C72-9C10-CEA78E096625} - System32\Tasks\{70FF0F12-AE03-42F8-99AD-577B7C00181E} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {C5EB9689-C5D3-4023-83A9-BF3F1D3BBFF4} - System32\Tasks\{5789A4A7-9BC5-4C4E-AEFE-932B0DCE48DC} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Enchanting Plus Mod Installer.exe" -d C:\Users\Nexa\Desktop Task: {C85BDDFB-6C57-4EFA-940C-BDF1E1D690C3} - System32\Tasks\{262C472F-AC77-4D50-9E0E-757962A65C90} => C:\Windows\system32\pcalua.exe -a F:\menu.exe -d F:\ Task: {E9C243F8-9D9D-4597-9E08-CF7DEC4B84AC} - System32\Tasks\RMSchedule => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: {EE20716B-9476-4404-93BD-B91F0D4B789F} - System32\Tasks\{A4BAC895-291F-49E7-9EFC-32A287C9B087} => C:\Program Files (x86)\Shai Raiten\Bluetooth Radar\Blue Radar.exe Task: {F117EC78-4768-4ADC-BAB7-DDD1883BE329} - System32\Tasks\{04A23D1D-19FD-48EF-80A3-443980CAAABC} => C:\Users\Nexa\Desktop\LogMeInHamachi_downloader-9kSe62Wh.exe Task: {FED8E007-1A28-493E-8685-CD6DB82340C8} - System32\Tasks\{1852A8D7-26FC-4656-BD45-AB11A5C1FF84} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Balkons Weapon Mod Installer.exe" -d C:\Users\Nexa\Desktop Task: C:\Windows\Tasks\GadgetBox UpdaterUpdaterTask{843FEC12-C525-4EE4-A652-619A51C5CF03}.job => C:\ProgramData\Premium\GadgetBox Updater\GadgetBox Updater.exeN/schedule /profilepath C:\ProgramData\Premium\GadgetBox Updater\profile.ini <==== UWAGA Task: C:\Windows\Tasks\RMAutoUpdate.job => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: C:\Windows\Tasks\RMSchedule.job => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: C:\Windows\Tasks\update-S-1-5-21-2717253058-3565486889-724126867-1000.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: C:\Windows\Tasks\update-sys.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe CustomCLSID: HKU\S-1-5-21-2717253058-3565486889-724126867-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Nexa\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers1: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers1: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers4: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers4: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MyAshampoo Toolbar DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Common Files\PC Tools C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ABBYY FineReader 6.0 Sprint\User's Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\City Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Clownfish C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DJ Mixer Professional for Win C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Dev Tycoon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Minecraft Pingwin Pack 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IQ Publishing C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Moorhuhn Soccer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NewSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Tools Registry Mechani C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Plano RS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ski Region Simulator 2012 Demo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STV Launcher C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Terraria C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webcam 7 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webcamXP 5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warplanes C:\Users\Nexa\Skype.lnk C:\Users\Nexa\AppData\Local\{*} C:\Users\Nexa\AppData\Local\updater.log C:\Users\Nexa\AppData\Local\UserProducts.xml C:\Users\Nexa\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Nexa\AppData\Roaming\Thumbs.db C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSub C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Robocraft C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\Public\Desktop\Ashampoo Deals.url C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* C:\Windows\system32\Drivers\*.tmp StartBatch: netsh advfirewall reset netsh ipconfig /flushdns netsh winsock reset EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. W pasku adresów wklep po kolei chrome://extensions i chrome://apps. Wyszukaj na listach SoccerSpecific i odinstaluj. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Na razie nie widzę nic aktywnego, tylko szczątki malware w Harmonogramie (zadania są puste). Przed usuwaniem dostarcz więcej danych: vs. ==================== Konta użytkowników: ============================= dylaN (S-1-5-21-1947299008-2126829087-4161886784-1004 - Administrator - Enabled) => C:\Users\dylaN Michal (S-1-5-21-1947299008-2126829087-4161886784-1001 - Administrator - Enabled) => C:\Users\Michal Na którym koncie problem zaistniał w pierwszej kolejności? Zostały tu dostarczone raporty z konta Michal, należy także dostarczyć nowy skan FRST.txt + Addition.txt z konta dylaN, wykonany po pełnym restarcie (nie po użyciu opcji Wyloguj czy Przełącz użytkownika). Ponadto pokaż też raport z MBAM co było usuwane.

Tak, skrypt powyżej zmodyfikowałam. Wycięłam też ze skryptu sprawdzanie na VirusTotal poniższego pliku, to plik Asus i domyślnie nie ma producenta. Task: {D612682F-3494-4EFA-A4E8-32C578F10D30} - System32\Tasks\ASUS\RunDAOD => C:\Windows\DAODx.exe [2009-03-30] () Przy okazji dodałam kilka innych wpisów w ramach kosmetyki (tak, usuwanie strony Google, bo obecnie jest obsługiwany tylko wariant https).

Temat przenoszę do stosownego działu Windows. Kuchta: Usuwam ten zły link. ugetfix.com to lewy serwis promujący niepożądane aplikacje typu "Reimage Repair". Wg Dziennika zdarzeń sprawa się kręciła wokół SW_PROV: Error: (09/04/2017 06:38:59 PM) (Source: VSS) (EventID: 12292) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: błąd tworzenia klasy COM dostawcy kopii w tle z identyfikatorem CLSID: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Operacja: Uzyskaj możliwy do wywołania interfejs dla tego dostawcy Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst Badaj kopie w tle Kontekst: Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5} Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} Kontekst migawki: 13 Kontekst migawki: 13 Kontekst wykonywania: Coordinator Error: (09/04/2017 06:38:59 PM) (Source: VSS) (EventID: 13) (User: ) Description: Informacje Usługi kopiowania woluminów w tle: nie można uruchomić serwera usługi COM z identyfikatorem CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} i nazwą SW_PROV. [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Operacja: Uzyskaj możliwy do wywołania interfejs dla tego dostawcy Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst Badaj kopie w tle Kontekst: Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5} Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} Kontekst migawki: 13 Kontekst migawki: 13 Kontekst wykonywania: Coordinator Sprawdzałeś inną usługę wymienianą w usuniętym już linku, czyli Kopiowanie woluminów w tle (VSS). A wg błędu prędzej należało sprawdzić stan usługi Dostawca kopiowania w tle oprogramowania firmy Microsoft (swprv): HKLM\SYSTEM\CurrentControlSet\Services\swprv System przeinstalowany, nie masz już pewnie kopii rejestru C:\FRST\Hives. Ale jeśli jest, wyłuskaj plik SYSTEM i prześlij do wglądu. To błąd w FRST, usługa nie filtrowana + flagowana określoną rutyną na odpadkowe usługi. Te usługi *UserSvc_* domyślnie nie mają ServiceDLL i powinny być ukryte na liście filtrowania. Farbar jest na wakacjach i nie może tego naprawić.

URL wklejek tekstowych nie mają znaczenia w kontekście sprawy tu podnoszonej (nie produkują komunikatu o "mieszanej zawartości").

Sprawa rozwiązana przedwczoraj, obecnie przekierowanie czynne. Dodatkowo na wszelki wypadek nowy certyfikat z uwzględnieniem kombinacji, jeżeli przekierowanie zostanie zdjęte.

Skoro masz dostęp do środowiska zewnętrznego typu Reatogo, to poproszę o raport z FRST. Reatogo-x-pe posiada graficzny interfejs, więc sprawa się ogranicza do uruchomienia przez dwuklik FRST zlokalizowanego na pendrive. FRST umożliwia łatwe przywracanie rejestru XP (na nowszych systemach jest to awykonalne). O ile tu problemem jest rejestr. Ponadto raport z FRST może coś więcej powiedzieć.

Te foldery nie są szkodliwe. Folder {01BD4FC9-2F86-4706-A62E-774BB7E9D308} to pozostałość po instalacji AVG (w środku instalator programu AVG), a reszta jest pusta i nic nie robi. Wszystko można usunąć. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} RemoveDirectory: C:\ProgramData\{ACBCD40A-42A8-4FF9-BD42-ABCD14998CBA} RemoveDirectory: C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} RemoveDirectory: C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} RemoveDirectory: C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynkowy fixlog.txt.

Skoro problem jest zarówno w Chrome jak i Steam, to przyczyna nie jest w obszarze przeglądarki i być może właśnie DNS i/lub jego bufor to clou. A Firefox tu w ogóle nie jest zainstalowany, więc Fix z posta #4 nie miał żadnego znaczenia. Kolejna sprawa to dużo domyślnych usług Windows bez podpisu cyfrowego: S3 AxInstSV; C:\Windows\System32\AxInstSV.dll [111104 2014-10-29] (Microsoft Corporation) [File not signed] S3 EFS; C:\Windows\system32\efssvc.dll [41472 2014-10-29] (Microsoft Corporation) [File not signed] S3 fhsvc; C:\Windows\system32\fhsvc.dll [121856 2014-10-29] (Microsoft Corporation) [File not signed] S4 SCardSvr; C:\Windows\System32\SCardSvr.dll [194048 2014-10-29] (Microsoft Corporation) [File not signed] S3 ScDeviceEnum; C:\Windows\System32\ScDeviceEnum.dll [131072 2014-10-29] (Microsoft Corporation) [File not signed] S3 SCPolicySvc; C:\Windows\System32\certprop.dll [156160 2014-10-29] (Microsoft Corporation) [File not signed] R2 Winmgmt; C:\Windows\system32\wbem\WMIsvc.dll [230400 2014-10-29] (Microsoft Corporation) [File not signed] S3 WinRM; C:\Windows\system32\WsmSvc.dll [2608640 2014-10-29] (Microsoft Corporation) [File not signed] S3 wlidsvc; C:\Windows\system32\wlidsvc.dll [1639424 2014-10-29] (Microsoft Corporation) [File not signed] S3 wmiApSrv; C:\Windows\system32\wbem\WmiApSrv.exe [201728 2014-10-29] (Microsoft Corporation) [File not signed] 1. Z klawiatury klawisz z flagą Windows + X > Połączenia sieciowe > Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na połączenie > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Z klawiatury klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep komendę sfc /scannow i ENTER. Gdy skan zostanie ukończony: 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: ipconfig /flushdns netsh advfirewall reset findstr /c:"[SR]" %windir%\logs\cbs\cbs.log EndBatch: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" EndRegedit: BootExecute: sdnclean64.exe SearchScopes: HKLM-x32 -> DefaultScope value is missing StartMenuInternet: IEXPLORE.EXE - iexplore.exe ContextMenuHandlers2: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File HKLM\...\StartupApproved\Run32: => "HP Software Update" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Pjeruk\AppData\Local\Mozilla C:\Users\Pjeruk\AppData\Roaming\Mozilla C:\Windows\System32\config\systemprofile\appdata\local\installationconfiguration.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart Przedstaw wynikowy fixlog.txt. I wypowiedz się czy problem przekierowań nadal występuje.

To rozszerzenie w skrypcie ma odnośnik do jakieś dziwnej strony, która się nawet nie ładuje (simple-finder.com). Rozszerzenie usunięte, czy są jakieś zmiany? Jeśli nie, to nie widzę nic więcej. Wprawdzie jest w Firefox też rozszerzenie Yahoo, ale to oficjalny add-on Yahoo hostowany też na Mozilla Add-ons i nie powinien produkować porno. W przypadku braku rezultatów zresetuj Firefox: w pasku adresów wklep about:support i ENTER, wybierz opcję odświeżenia. Reset przeglądarki nie usuwa haseł i zakładek, ale wszystkie rozszerzenia pójdą do piachu (do reinstalacji). Co masz na myśli? Brakuje danych?

Jak mówiłam, "Quick Searcher" jest podejrzany, przekierowania nadal są, bo nic się nie wykonało ze skryptu. Zabij proces FRST, następnie: 1. Przekopiuj poniższy folder na Pulpit, spakuj ręcznie i dostarcz do ręcznej analizy. C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 2. Następnie wytnij tę linię Zip: ze skryptu i uruchom skrypt.

Reinstalacja przeglądarki nie usuwa profilu Firefox z dysku, a od wielu już wersji nie ma opcji w instalatorze Mozilla, by zaznaczyć usunięcie profilu. To rozszerzenie przeportowane z Chrome jest podejrzane (nie mogę go znaleźć na Mozilla Add-ons, wygląda na adware/PUP): FF Extension: (Quick Searcher) - C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 [2017-08-30] Ponadto jest jakiś niedomyślny plik user.js o nieznanej zawartości. I jeszcze poprawki na inne śmieci. 1. Odinstaluj AVG TuneUp (firmowy PUP) oraz Dll-Files Fixer (program wątpliwej reputacji). Niestety AVG TuneUp jest uszkodzony - to skutek uboczny użycia AdwCleaner, na chama usuwał foldery z dysku zostawiając śmietnik w rejestrze. Należało go najpierw normalnie odinstalować, a dopiero po tym użyć AdwCleaner... Prawdopodobnie jednak AVG TuneUp jest tak uszkodzony, że wejście nie będzie reagować. Potem się tym ewentualnie zajmiemy. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: netsh advfirewall reset CMD: type C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\user.js Zip: C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 HKU\S-1-5-21-3993077788-801993031-1647673089-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={2E2055F0-0870-4141-B270-6EEA055F6394}&mid=9c02c083121a47cc905b69de1c6349fd-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=de&ds=AVG&coid=avgtbavg&cmpid=0717tb&pr=fr&d=2016-07-25 21:28:10&v=4.3.8.510&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll => Keine Datei BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll => Keine Datei HKLM-x32\...\Run: [vProt] => "C:\Program Files (x86)\AVG Web TuneUp\vprot.exe" ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Keine Datei DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions FF SelectedSearchEngine: Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211 -> Bing C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\user.js C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\searchplugins C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\TEMP C:\Windows\system32\Tasks\AVAST Software RemoveProxy: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Na Pulpicie powstał plik ZIP - shostuj gdzieś i prześlij mi link do tego pliku.

Proszę załącz trzy raporty z FRST (FRST.txt, Addition.txt, Shortcut.txt) w postaci załączników forum. Nie wklejaj raportów FRST do posta.