picasso

Jest tu owszem wiele elementów infekcji adware, w tym infekcja DNS (zarażone pliki Windows dnsapi.dll), a w Google Chrome jest fałszywy profil wstawiony przez adware. Działania do przeprowadzenia: 1. Uruchom RepairDNS i zresetuj system. Na Pulpicie powstanie log RepairDNS.txt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Providers\4zal1oor: D:\Games\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\7e5sbqvr: D:\WarThunder\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\7ghu9wiw: C:\Users\Damian\AppData\Local\Google\Chrome\User Data_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\8bw0hcc5: D:\Program Files_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\9nd72gsa: D:\Program Files\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\cjykwm5j: C:\Users\Damian\AppData\Local\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\epimjqss: C:\Users\Damian\AppData\Local\Temp\local64spl.dll HKLM\...\Providers\galolxb9: C:\Program Files (x86)\Youtube AdBlock\local64spl.dll HKLM\...\Providers\iwr6e3cd: C:\Program Files (x86)\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\k9cdgcb9: C:\Windows\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\kkoaepst: C:\Users\Damian\AppData\LocalLow\Youtube AdBlock\local64spl.dll HKLM\...\Providers\pbn9jxvc: D:\WarThunder_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\qbim8086: C:\\local64spl.dll HKLM\...\Providers\sbjf3l69: C:\_\local64spl.dll HKLM\...\Providers\smq66f0w: C:\Users\Damian\AppData\LocalLow\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\wc5tncty: D:\Program Files (x86)\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\y53f4qk0: D:\Games_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\yle1tx80: D:\Program Files (x86)_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\zh0e3rcp: C:\Windows\Temp\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\zn9pq19j: C:\Users\Damian\AppData\Local\Google\Chrome\User Data\local64spl.dll [142848 2016-10-23] () Task: {7C8CD26E-6569-4FB0-90AD-284763AAFCC7} - System32\Tasks\4b61d06ef0356dc7e0a79eadfc7c48a5 => Rundll32.exe "C:\Program Files (x86)\AMD\dp0irx.dll",e62dc6c6547f46bda862da2d05af6862 Task: {E373130B-FB5C-4E8C-A6F7-BEAAC30B39A4} - \Fekutain Renew -> No File <==== ATTENTION Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File <==== ATTENTION NETSVCx32: HpSvc -> no filepath. S3 EasyAntiCheatSys; \??\C:\Windows\system32\drivers\EasyAntiCheat.sys [X] HKU\S-1-5-21-938549846-2126480309-1688900008-1001\...\Run: [GalaxyClient] => [X] GroupPolicy: Restriction - Chrome <======= ATTENTION BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> C:\Program Files (x86)\Youtube AdBlock\IEEF\XK9jjMtbSm.dll => No File BHO: No Name -> {F525CC93-970E-4841-8524-C7A087F4B650} -> No File BHO-x32: No Name -> {F525CC93-970E-4841-8524-C7A087F4B650} -> No File DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\local64spl.dll.ini C:\_ C:\Program Files\Aiduwb C:\Program Files\AiduwbUn C:\Program Files\Plumbytes Software C:\Program Files (x86)\AMD\dp0irx.dll C:\Program Files (x86)\Temp C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\Youtube AdBlock_ C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\TOSTACK C:\Users\Damian\AppData\Local\CEF C:\Users\Damian\AppData\Local\Google\Chrome\User Data\local64spl.dll C:\Users\Damian\AppData\Local\Google\Chrome\User Data_ C:\Users\Damian\AppData\Local\Temp_ C:\Users\Damian\AppData\Local\Tempfolder C:\Users\Damian\AppData\Local\UCBrowser C:\Users\Damian\AppData\LocalLow\Company C:\Users\Damian\AppData\LocalLow\Youtube AdBlock_ C:\Users\Damian\AppData\Roaming\SimpleNotepad4 C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Damian\Downloads\*.torrent C:\Windows\Temp_ C:\Windows\system32\yrui C:\Windows\SysWOW64\kz.exe D:\Games\local64spl.dll D:\Games_ D:\Program Files (x86)\local64spl.dll D:\Program Files (x86)_ D:\Program Files\local64spl.dll D:\Program Files_ D:\WarThunder\local64spl.dll D:\WarThunder_ Hosts: StartBatch: ipconfig /flushdns netsh advfirewall reset EndBatch: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W powyższym skrypcie zostały załączone do usunięcia wszystkie skróty przeglądarek zawierające utajoną Cyrylicę. Skróty musisz odtworzyć ręcznie w wybranych miejscach. 4. Konieczna wymiana całego profilu Google Chrome. Ustawienia > karta Ustawienia > Osoby. Na liście powinien być widoczny profil adware pod nazwą user0. Należy go usunąć i opcją Dodaj osobę założyć nowy, zamknąć wszystkie bieżące okna Google Chrome i otworzyć Chrome ponownie już na nowym profilu. Ewentualny odzysk utraconych zakładek potem. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Temat przenoszę do działu Windows, bo główne wątki nie są wynikową infekcji. Jeśli chodzi o problem z Recovery, to wg raportu FRST Addition oraz widoku diskmgmt.msc nic tu nie wskazuje na obecność partycji Asus Recovery, tylko partycja z Windows oraz rozszerzona podzielona na 3 dyski logiczne (D patrz niżej, a E i F utworzone przez Ciebie ręcznie). Układ partycji wygląda na mocno przerobiony, a jak do tego doszło, to już nie jestem w stanie powiedzieć. Ten wątek zdaje się tu być niestety zamknięty, nie ma skąd brać materiału na Recovery (brak tej partycji, brak płyt instalacyjnych Windows). Dostarczony widok partycji D nie potwierdza, by było tam cokolwiek od Recovery. Widać tylko elementy Kopii zapasowej systemu Windows (folder WindowsImageBackup + pliki MediaID.bin i NIESMIERTELNY), utworzone ręcznie w trakcie działania systemu. Jak bardzo stara jest ta kopia i czy chcesz ją usunąć? Jeśli w folderze Bridge Project nie ma nic ważnego, to można po prostu partycję D sformatować. Zostaje więc do drążenia ten wątek. Infekcje tu owszem są, tzn.: - Infekcja routera, zamalowany adres IP jest holenderski, a wg IP pod jakim Cię widzę na forum powinieneś mieć adres DNS polskiego dostawcy: Tcpip\Parameters: [DhcpNameServer] 5.39.220.123 8.8.8.8 - Jak wspominałam, w systemie jest też aktywne adware (Browser-Security), ale nabyłeś je co dopiero z "Asystenta pobierania" dobrychprogramów: KLIK. Na to wskazuje linia czasowa ("dp" = pliki Asystenta a nie poprawne instalatory): 2016-10-14 20:37 - 2016-10-14 20:37 - 00000000 ____D C:\Users\Niiesmiertelny\AppData\Roaming\Browser-Security 2016-10-14 20:36 - 2016-10-14 20:36 - 01190144 _____ (Tefasahofi ) C:\Users\Niiesmiertelny\Downloads\UNetbootin-12993-dp.exe 2016-10-14 20:35 - 2016-10-14 20:35 - 01190144 _____ (Tefasahofi ) C:\Users\Niiesmiertelny\Downloads\GParted-13209-dp.exe Żadne z powyższych nie jest raczej przyczyną kłopotów z systemem. Zacinanie ogólne prędzej może być wynikiem bardzo małej ilości wolnego miejsca na dysku C: Drive c: () (Fixed) (Total:58.59 GB) (Free:3.97 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] 1. Na początek w spoilerze przeczyszczenie z infekcji i wpisów szczątkowych oraz usunięcie zdefektowanych sterowników zabezpieczenia Tages. Komenda czyszczenia Tempów zadana w skrypcie FRST może nieco zmienić statystyki wolnego miejsca na C. 2. Jeśli rzecz o tym błędzie: Dziennik System: ============= Error: (10/23/2016 04:31:03 PM) (Source: ipnathlp) (EventID: 31004) (User: ) Description: Agent proxy DNS nie może przydzielić 0 bajtów pamięci. Może to wskazywać, że w systemie brakuje pamięci wirtualnej lub że menedżer pamięci napotkał błąd wewnętrzny. Spróbuj wyłączyć współdzielenie: Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > po kolei pobierz Właściwości dla wszystkich aktywnych połączeń i przejdź do karty Udostępnianie > odznacz "Zezwalaj innym użytkownikom sieci na łączenie się poprzez połączenie internetowe tego komputera" (o ile zaznaczone). Start > w polu szukania wpisz services.msc > Uruchom jako Administrator > dwuklik na usługę "Udostępnianie połączenia internetowego (ICS)" i Typ startowy przestaw na Wyłączony (o ile stoi tam aktualnie coś innego). 3. Za pomocą SpaceSniffer zorientuj się gdzie ewentualnie można zwolnić miejsce na dysku C. Dysk D zajmuje głównie Kopia zapasowa systemu Windows i tu czekam na potwierdzenie, czy można ją usunąć. SpaceSniffer należy uruchomić z prawokliku via "Uruchom jako administrator", by obliczył obszary zablokowane. 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 5. Na koniec zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt ze spoilera.

Brak głównego pliku FRST.txt. Co to za plik Fixlog? Skąd był brany skrypt do FRST? Nie można używać skryptów z innych tematów, nie zdziałają nic (inne konfiguracje, ścieżki dostępu), a jeszcze można uszkodzić sobie system. A ten tu widziany skrypt to nic prawie nie zrobił i nie pasuje do problemu.

Tu jeszcze nie skończyliśmy. Dodaj log z AdwCleaner.

Na przyszłość: Trojan Remover to nie jest zbyt polecany program i on nie jest specjalizowany w kontekście widzianych tu problemów. Oceniając zaś stan widziany w raportach, nadal infekcja DNS (zainfekowany plik systemowy dnsapi.dll), liczne aktywne obiekty adware oraz wstawiony przez adware fałszywy profil w Chrome. Działania do przeprowadzenia: 1. Odinstaluj: Adobe Flash Player 10 ActiveX (bardzo stara wersja z grożnymi lukami), Akamai NetSession Interface (zbędny downloader produktów Autodesk), Trojan Remover 6.9.4. 2. Uruchom RepairDNS i zresetuj system. Na Pulpicie powstanie log RepairDNS.txt. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Providers\0iz2p5v8: D:\Filmy_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\1anoq0tb: C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\22jhgxgb: C:\Users\Konrad\AppData\LocalLow\Youtube AdBlock\local64spl.dll HKLM\...\Providers\2n2ozl0r: D:\EaseUS Partition Master 11.0_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\2qqpq9n9: D:\EaseUS Partition Master 11.0\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\37ezym5j: C:\Users\Konrad\AppData\Local\Temp\local64spl.dll HKLM\...\Providers\40x4ogk9: C:\Program Files (x86)\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\48pv4nq3: D:\Projekty_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\917txvc8: C:\Users\Konrad\AppData\Local\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\cyhzh7un: C:\Users\Jacek Teresa\AppData\LocalLow\Youtube AdBlock\local64spl.dll HKLM\...\Providers\hjw795gm: D:\MANTA AKTUALIZACJA_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\hk2y91pw: C:\Users\Jacek Teresa\AppData\Local\Temp\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\hmdd1os2: C:\_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\hwqu3uqn: C:\Users\Jacek Teresa\AppData\Local\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\ll45t581: D:\Filmy\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\mnjngigv: C:\Users\Konrad\AppData\LocalLow\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\nmxq67v7: C:\Program Files (x86)\Mozilla Firefox\browser\features\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\nzul2b6g: C:\Program Files (x86)\Youtube AdBlock\local64spl.dll HKLM\...\Providers\oxgm80q6: C:\Users\Konrad\AppData\Local\Google\Chrome\User Data_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\s1zm9f5f: C:\Windows\Temp\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\snt0eqfd: C:\Program Files (x86)\Mozilla Firefox\browser\features_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\t4c7o2d4: C:\Users\Konrad\AppData\Local\Google\Chrome\User Data\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\umuiapam: C:\Users\Jacek Teresa\AppData\LocalLow\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\vb9p0hnn: C:\\local64spl.dll HKLM\...\Providers\vlx94z31: C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\xyzgujd5: D:\MANTA AKTUALIZACJA\\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\yv2ydj41: C:\Windows\Temp_\local64spl.dll [142848 2016-10-23] () HKLM\...\Providers\zcf5entn: D:\Projekty\\local64spl.dll [142848 2016-10-23] () R2 Cercither; C:\Program Files (x86)\Cudpyjnuly\PptPrv.dll [273920 2016-10-22] () [brak podpisu cyfrowego] NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {1E043638-3A6D-46D9-8156-654576485632} - System32\Tasks\4b61d06ef0356dc7e0a79eadfc7c48a5 => Rundll32.exe "C:\Program Files (x86)\Microsoft.NET\iqa5dx.dll",e62dc6c6547f46bda862da2d05af6862 Task: {59B33E5B-C2E4-4754-9354-453F4126A346} - System32\Tasks\Driver Booster SkipUAC (Konrad) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe Task: {AC3AA9B9-27F1-4A84-B083-532E5ADEDE2E} - System32\Tasks\Wakoshqiqa Helper => C:\Program Files (x86)\Cudpyjnuly\rmuy.exe [2016-10-22] (VideoLAN) Task: {C54BC717-E2A1-4D9F-BF94-058978EA4735} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\NoteIcon.exe HKU\S-1-5-18\...\Run: [] => 0 MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Konrad\AppData\Local\Akamai\netsession_win.exe" MSCONFIG\startupreg: app => C:\Program Files (x86)\hhh\uc.exe MSCONFIG\startupreg: svchost0 => C:\Program Files (x86)\hhh\uc.exe GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-498792050-126766143-2195073676-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\local64spl.dll.ini C:\_ C:\Program Files (x86)\Cudpyjnuly C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Youtube AdBlock_ C:\Program Files (x86)\Microsoft.NET\iqa5dx.dll C:\ProgramData\wxr_2dm.adt C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\ProductData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\TOSTACK C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data\local64spl.dll C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data_ C:\Users\Jacek Teresa\AppData\Local\Temp_ C:\Users\Jacek Teresa\AppData\LocalLow\Youtube AdBlock_ C:\Users\Konrad\AppData\Local\Funusygaqacult C:\Users\Konrad\AppData\Local\Temp_ C:\Users\Konrad\AppData\Local\Tempfolder C:\Users\Konrad\AppData\Local\Google\Chrome\User Data\local64spl.dll C:\Users\Konrad\AppData\Local\Google\Chrome\User Data_ C:\Users\Konrad\AppData\LocalLow\Company C:\Users\Konrad\AppData\LocalLow\IObit C:\Users\Konrad\AppData\LocalLow\Youtube AdBlock_ C:\Users\Konrad\AppData\LocalLow0000000000415B98 C:\Users\Konrad\AppData\LocalLow0000000000500CC8 C:\Users\Konrad\AppData\LocalLow005C25D0 C:\Users\Konrad\AppData\LocalLow007E78C0 C:\Users\Konrad\AppData\Roaming\*.* C:\Users\Konrad\AppData\Roaming\Getaenthajos C:\Users\Konrad\AppData\Roaming\IObit C:\Users\Konrad\AppData\Roaming\Microleaves C:\Users\Konrad\AppData\Roaming\Mozilla C:\Users\Konrad\Desktop\Bocad-3D64_21_en.lnk C:\Users\Konrad\Desktop\Bocad-3D64_21_pl.lnk C:\Users\Konrad\Desktop\Play WarThunder.lnk C:\Windows\windowdowngrade.exe C:\Windows\IObit C:\Windows\Temp_ C:\Windows\system32\cea D:\EaseUS Partition Master 11.0\local64spl.dll D:\EaseUS Partition Master 11.0_ D:\Filmy\local64spl.dll D:\Filmy_ D:\MANTA AKTUALIZACJA\local64spl.dll D:\MANTA AKTUALIZACJA_ D:\Projekty\local64spl.dll D:\Projekty_ CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wymagana wymiana całego profilu Google Chrome. Ustawienia > karta Ustawienia > Osoby. Na liście powinien być widoczny profil adware pod nazwą user0. Należy go usunąć i opcją Dodaj osobę założyć nowy, zamknąć wszystkie bieżące okna Google Chrome i otworzyć Chrome ponownie już na nowym profilu. Ewentualny odzysk utraconych zakładek potem. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Nie widzę raportu z DelFix....

Wszystko pomyślnie wykonane. Drobne działania dodatkowe: 1. W związku z tym, że były tu też ślady adware, uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff Co masz na myśli? Czy po usunięciu infekcji są jakieś problemy z kartą graficzną?

Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Wszystko zrobione. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Wg raportów Avast i Unchecky zostały zainstalowane już po fakcie (tzn. w trakcie procesu czyszczenia, gdy już były obiekty adware aktywne), więc pojawiły się za późno. uBlock Origin dobry dodatek, ale jego rola jest po prostu ograniczona i już nic nie zdziała w momencie, gdy użytkownik uruchomił ręcznie "downloader" ze sponsorami. Natomiast WOT to ma niestety nikły wpływ na redukcję problemu, to tylko dodatek stricte informacyjny. Jeśli chodzi o zatrzymanie niepożądanych instalacji, to tu sugerowanym rozwiązaniem byłby raczej program mocno orientowany na instalacje adware/PUP, a takim jest komercyjna wersja MBAM czy Emsisoft. Bardzo mi miło, że mnie zapamiętałeś (tyle lat!) i doceniasz moje działania.

Wszystko wykonane. Teraz jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Plik powstał "pomiędzy" obiektami szkodników, więc szukałam informacji o nim i nic nie mogłam znaleźć. Skoro jest to na pewno poprawny nieszkodliwy obiekt, wyciągnij go z folderu C:\FRST\Quarantine.

Uruchomienie skryptu FRST to tylko część zadanych czynności. Do wykonania punkty 2 i 3.

W tej sytuacji spróbuj uruchomić skrypt FRST z poziomu trybu normalnego.

Jest tu potworna ilość adware/PUP oraz fałszywe profile wstawione w przeglądarkach Chrome i Firefox... Działania wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaohaWifiSvr; C:\Program Files\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有) R2 Mogileghekpy; C:\Program Files\Gruheph\Mwscloud.dll [277504 2016-10-21] () [brak podpisu cyfrowego] S3 ucdrv; C:\Windows\System32\drivers:ucdrv-x86.sys [69010 ] (UC Web Inc.) <==== UWAGA R1 MaohaWifiNetPro; \??\C:\Program Files\GreatMaker\MaohaWiFi\MaoHaWiFiNet.sys [X] HKLM\...\Providers\04946f7y: C:\Users\UpdatusUser\AppData\LocalLow\Youtube AdBlock_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\0k8tte2j: C:\Users\MATEUSZ\AppData\Local\Google\Chrome\User Data_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\0ljj4oi5: C:\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\0oao8zaf: C:\Windows\Temp_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\0ps778jc: e:\mazury 2 2015_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\1h61wcsd: e:\mazury 2 2015_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\224mwbyp: E:\mazury 2015\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\28ylz3qh: C:\Users\DAMIAN\AppData\LocalLow\Youtube AdBlock_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\29mvacy5: C:\Users\pipek\AppData\Local\Temp_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\2coon5vi: e:\mazury 2 2015\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\2urry2cn: d:\katalogi_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\2ymkb0ok: C:\Users\pipek\AppData\Roaming\Opera Software\Opera Stable_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\332yyp3l: C:\Users\DAMIAN\AppData\Local\Google\Chrome\User Data\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\33zn95n9: C:\Users\MATEUSZ\AppData\Local\Temp\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\3s7fuaih: c:\_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\3ykv4qz7: C:\Users\DAMIAN\AppData\Local\Google\Chrome\User Data_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\3yzx6wwm: C:\Users\pipek\AppData\Local\Temp\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\44ubtcoz: E:\mazury 2015_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\463q6jzc: C:\Users\pipek\AppData\Local\Google\Chrome\User Data_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\490kqvpw: C:\Users\DAMIAN\AppData\Roaming\Opera Software\Opera Stable_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\4a4vsm9h: C:\Windows\Temp\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\4t86ip39: C:\Users\MATEUSZ\AppData\LocalLow\Youtube AdBlock\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\51j78t2s: C:\Users\pipek\AppData\Local\Google\Chrome\User Data\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\5yrgbsoo: C:\Users\DAMIAN\AppData\Local\Temp_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\67pd86ir: C:\Users\DAMIAN\AppData\Local\Temp\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\6aazv9sw: d:\hip hop\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\6v47rmaw: D:\Hip Hop_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\7zrpfh4r: C:\Users\DAMIAN\AppData\Local\Google\Chrome\User Data\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\94wpkk60: C:\Users\pipek\AppData\LocalLow\Youtube AdBlock\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\9f3z8q7i: d:\katalogi\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\9l9k3t9m: C:\Users\pipek\AppData\Local\Temp_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\a0pyjr7g: C:\Users\MATEUSZ\AppData\Roaming\Opera Software\Opera Stable_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\a911vv07: C:\Program Files\Youtube AdBlock\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\afn3mx7n: C:\Users\UpdatusUser\AppData\Local\Temp\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\amxi9m62: E:\mazury 2 2015\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\apzmy4ko: C:\Users\MATEUSZ\AppData\Roaming\Opera Software\Opera Stable\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\awv7p3we: D:\Hip Hop_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\c01qizb6: d:\hip hop_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\cgqxvi7k: C:\Program Files\Mozilla Firefox\browser\features_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\cxlb65dn: C:\_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\dg76wkaf: C:\Users\DAMIAN\AppData\Roaming\Opera Software\Opera Stable_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\dq0u3v2u: C:\Users\pipek\AppData\Roaming\Opera Software\Opera Stable\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\dz9f3m5e: C:\Users\DAMIAN\AppData\Roaming\Opera Software\Opera Stable\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\e2xd893s: d:\katalogi\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\ego7d5rs: c:\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\eix20zao: C:\Users\UpdatusUser\AppData\Local\Temp_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\eqnd7oct: C:\Users\DAMIAN\AppData\Roaming\Opera Software\Opera Stable\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\f2qwxq8c: C:\Users\pipek\AppData\LocalLow\Youtube AdBlock_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\fpiiqsre: C:\Users\MATEUSZ\AppData\Roaming\Opera Software\Opera Stable_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\fqcewcx8: C:\Users\MATEUSZ\AppData\Local\Temp_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\g13h6f8q: D:\katalogi_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\gnnn00bz: C:\Users\DAMIAN\AppData\LocalLow\Youtube AdBlock_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\h8omagr8: C:\Users\MATEUSZ\AppData\Local\Google\Chrome\User Data\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\h9f05g8n: C:\Program Files\Youtube AdBlock_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\hxxi7pxz: E:\mazury 2 2015_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\ihymuzii: C:\Users\DAMIAN\AppData\LocalLow\Youtube AdBlock\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\ix1rwdwp: e:\mazury 2 2015\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\izoyrbhx: C:\Users\DAMIAN\AppData\Local\Google\Chrome\User Data_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\jfsza3z5: E:\mazury 2015_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\jzr5umca: C:\Users\MATEUSZ\AppData\Local\Google\Chrome\User Data\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\k0t5zryc: C:\Program Files\Youtube AdBlock\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\knuhr082: C:\Users\pipek\AppData\Roaming\Opera Software\Opera Stable\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\m2axiw3l: d:\katalogi_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\m7kl87xg: C:\Users\MATEUSZ\AppData\Local\Temp_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\m7sbha9q: C:\Users\UpdatusUser\AppData\LocalLow\Youtube AdBlock\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\m8z4px8t: C:\Users\MATEUSZ\AppData\Local\Temp\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\ml2vmzi5: C:\Windows\Temp\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\n0m16dba: C:\Users\MATEUSZ\AppData\LocalLow\Youtube AdBlock_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\nqzb6anv: d:\hip hop_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\nte8qk0d: D:\katalogi\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\nyctbjac: C:\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\o374i3a1: c:\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\on8n976h: D:\Hip Hop\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\phhcp8p4: C:\Users\pipek\AppData\LocalLow\Youtube AdBlock_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\pj272zwp: C:\Program Files\Mozilla Firefox\browser\features\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\pko9h5lm: C:\Users\MATEUSZ\AppData\LocalLow\Youtube AdBlock_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\qfk5c0vl: d:\hip hop\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\qkzdwrwe: D:\katalogi\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\rnxfhqok: D:\Hip Hop\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\rqk37jq4: D:\katalogi_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\s9zjgbv9: C:\Users\pipek\AppData\LocalLow\Youtube AdBlock\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\sjzxr4di: C:\Users\pipek\AppData\Local\Google\Chrome\User Data_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\swn2dj7h: C:\Program Files\Youtube AdBlock_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\szd4kdzr: C:\Users\DAMIAN\AppData\LocalLow\Youtube AdBlock\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\tbct2d5j: C:\Users\UpdatusUser\AppData\LocalLow\Youtube AdBlock_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\ucn014e6: c:\_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\uu7y1yjh: C:\_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\v5api39c: C:\Users\pipek\AppData\Roaming\Opera Software\Opera Stable_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\v7ktan23: C:\Users\MATEUSZ\AppData\Local\Google\Chrome\User Data_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\vgmbjaiq: C:\Users\DAMIAN\AppData\Local\Temp\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\whkvzb96: C:\Users\UpdatusUser\AppData\Local\Temp\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\wuhwe0n3: C:\Users\DAMIAN\AppData\Local\Temp_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\wwogu1kp: C:\Windows\Temp_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\x3c3fx9j: C:\Users\MATEUSZ\AppData\LocalLow\Youtube AdBlock\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\x7t9n3vv: C:\Users\UpdatusUser\AppData\Local\Temp_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\y8uz9yhl: C:\Users\pipek\AppData\Local\Temp\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\ymn5kj0g: C:\Users\UpdatusUser\AppData\LocalLow\Youtube AdBlock\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\z0vsc8qz: E:\mazury 2 2015\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\z6iux0t6: C:\Users\MATEUSZ\AppData\Roaming\Opera Software\Opera Stable\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\z8dsz5u4: C:\Users\pipek\AppData\Local\Google\Chrome\User Data\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\z9qbe20i: C:\Program Files\Mozilla Firefox\browser\features_\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\zju2yh6k: C:\Program Files\Mozilla Firefox\browser\features\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\zs4m3gbr: E:\mazury 2015\\local32spl.dll [145408 2016-10-22] () HKLM\...\Providers\zske1dn3: E:\mazury 2 2015_\local32spl.dll [145408 2016-10-22] () Task: {1D2098D5-0A39-48F6-A95C-8307A6809E8E} - System32\Tasks\{4A136A37-DBC0-49BD-B67F-B00F0EEB76E2} => pcalua.exe -a C:\Users\pipek\AppData\Roaming\mystartsearch\Uninstall.exe Task: {31CBA13D-1DA6-4840-8B4C-74A39DB50C17} - \pipekNonvascularSolecismV2 -> Brak pliku <==== UWAGA Task: {7174123B-1A14-4D90-8E08-DC1F64B5B2C3} - System32\Tasks\Rersipy Client => C:\Program Files\Gruheph\igasy.exe [2016-10-21] (VideoLAN) Task: {78EA48FB-2670-47B6-8247-FD9C230A4CC7} - System32\Tasks\{3A1C8BE3-06DD-43AB-A876-E63E321D5A4B} => pcalua.exe -a "C:\Program Files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="XM02-508X-MHAT-19WU-9Z3Z-0CH0-3U6E-85W5-MMHH-6647-1Z5L-7M8C-0U45-758P-0000" Task: {96625BDD-7665-4437-A670-AD1FC8358472} - System32\Tasks\SecureUpdater => C:\Program Files\UCBrowser\Application\uclauncher.exe <==== UWAGA Task: {D0B2FBA2-2FF5-4CD7-A7FB-FDD4EC9DAD28} - System32\Tasks\{D4B59D7D-84A9-4A3A-94ED-D39919D2E0FD} => pcalua.exe -a C:\Users\pipek\Desktop\WLAN_Intel(SP1x2HABG)_v.12.4.1.11_Win7x86x64\Win7\s32\iProDifX.exe -d C:\Users\pipek\Desktop\WLAN_Intel(SP1x2HABG)_v.12.4.1.11_Win7x86x64\Win7\s32 Task: {E7B45E32-C300-4026-8666-50F2E5B2E550} - System32\Tasks\4b61d06ef0356dc7e0a79eadfc7c48a5 => Rundll32.exe "C:\Program Files\Windows NT\jfszy2.dll",e62dc6c6547f46bda862da2d05af6862 HKU\S-1-5-21-3091924290-661932203-592501800-1004\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\DAMIAN\AppData\Local\Temp\ALLRemote.exe <===== UWAGA BootExecute: autocheck autochk /r \??\C:autocheck autochk * GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA ShortcutWithArgument: C:\Users\MATEUSZ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\MATEUSZ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\pipek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\pipek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-3091924290-661932203-592501800-1005 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe FirewallRules: [{86190DFD-FB7F-4222-AF5E-F5B582C4071F}] => (Allow) C:\Users\DAMIAN\AppData\Local\Temp\is-J9CCE.tmp\download\MiniThunderPlatform.exe FirewallRules: [{C151BD3F-3757-456B-989D-DA6306818F21}] => (Allow) C:\Program Files\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [69010] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1157922] C:\local32spl.dll C:\_ C:\http C:\Program Files\7DF8AE40-1477055635-11DC-A6AD-001E68D5EA8B C:\Program Files\DivX C:\Program Files\GreatMaker C:\Program Files\Gruheph C:\Program Files\mpck C:\Program Files\Yhid C:\Program Files\Windows 7 Activator C:\Program Files\Youtube AdBlock C:\Program Files\Youtube AdBlock_ C:\Program Files\Mozilla Firefox\browser\features\local32spl.dll C:\Program Files\Mozilla Firefox\browser\features_ C:\Program Files\Windows NT\jfszy2.dll C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\service.exe C:\ProgramData\AVAST Software C:\ProgramData\Avira C:\ProgramData\Logic Handler C:\ProgramData\NetworkPacketManitor C:\ProgramData\Quoteex C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\TOSTACK C:\uninst C:\Users\DAMIAN\AppData\Local\ContritelyCrenated C:\Users\DAMIAN\AppData\Local\Grisale C:\Users\DAMIAN\AppData\Local\Google\Chrome\User Data\local32spl.dll C:\Users\DAMIAN\AppData\Local\Google\Chrome\User Data_ C:\Users\DAMIAN\AppData\Local\Temp_ C:\Users\DAMIAN\AppData\Local\Tempfolder C:\Users\DAMIAN\AppData\Local\UCBrowser C:\Users\DAMIAN\AppData\LocalLow\Company C:\Users\DAMIAN\AppData\LocalLow\Youtube AdBlock C:\Users\DAMIAN\AppData\LocalLow\Youtube AdBlock_ C:\Users\DAMIAN\AppData\Roaming\*.* C:\Users\DAMIAN\AppData\Roaming\Drerhty C:\Users\DAMIAN\AppData\Roaming\Geunfy C:\Users\DAMIAN\AppData\Roaming\GowvePitpagf C:\Users\DAMIAN\AppData\Roaming\Milestone C:\Users\DAMIAN\AppData\Roaming\SimpleNotepad4 C:\Users\DAMIAN\AppData\Roaming\ssn C:\Users\DAMIAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\DAMIAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\DAMIAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Ореrа.lnk C:\Users\DAMIAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\DAMIAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk C:\Users\DAMIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\DAMIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\DAMIAN\AppData\Roaming\Mozilla\Firefox\naweriweentcofise C:\Users\DAMIAN\AppData\Roaming\Opera Software\Opera Stable\local32spl.dll C:\Users\DAMIAN\AppData\Roaming\Opera Software\Opera Stable_ C:\Users\DAMIAN\Desktop\AutoTime.lnk C:\Users\MATEUSZ\AppData\Local\Google\Chrome\User Data\local32spl.dll C:\Users\MATEUSZ\AppData\Local\Google\Chrome\User Data_ C:\Users\MATEUSZ\AppData\Local\Temp_ C:\Users\MATEUSZ\AppData\LocalLow\Youtube AdBlock C:\Users\MATEUSZ\AppData\LocalLow\Youtube AdBlock_ C:\Users\MATEUSZ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk C:\Users\MATEUSZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\MATEUSZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\MATEUSZ\AppData\Roaming\Opera Software\Opera Stable\local32spl.dll C:\Users\MATEUSZ\AppData\Roaming\Opera Software\Opera Stable_ C:\Users\pipek\AppData\Local\Google\Chrome\User Data\local32spl.dll C:\Users\pipek\AppData\Local\Google\Chrome\User Data_ C:\Users\pipek\AppData\Local\Temp_ C:\Users\pipek\AppData\LocalLow\Youtube AdBlock C:\Users\pipek\AppData\LocalLow\Youtube AdBlock_ C:\Users\pipek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\pipek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk C:\Users\pipek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk C:\Users\pipek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk C:\Users\pipek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\pipek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\pipek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WаrТhundеr.lnk C:\Users\pipek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft C:\Users\pipek\AppData\Roaming\Opera Software\Opera Stable\local32spl.dll C:\Users\pipek\AppData\Roaming\Opera Software\Opera Stable_ C:\Users\pipek\Desktop\Uplay.lnk C:\Users\pipek\Desktop\WаrТhundеr.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Моzillа Firеfох.lnk C:\Users\Public\Desktop\Ореrа.lnk C:\Users\UpdatusUser\AppData\Local\Temp_ C:\Users\UpdatusUser\AppData\LocalLow\Youtube AdBlock C:\Users\UpdatusUser\AppData\LocalLow\Youtube AdBlock_ C:\Windows\Temp_ C:\Windows\system\trfa D:\Hip Hop\local32spl.dll D:\Hip Hop_ D:\katalogi\local32spl.dll D:\katalogi_ E:\mazury 2015\local32spl.dll E:\mazury 2015_ E:\mazury 2 2015\local32spl.dll E:\mazury 2 2015_ Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zostały usunięte wszystkie skróty przeglądarek (zawierały ukrytą Cyrylicę) z wszystkich kont. Odtwórz ręcznie skróty w wybranych miejscach. Następnie wyczyść przeglądarki z adware: Firefox: Uruchom Firefox i wyeksportuj zakładki, o ile jest co eksportować... Następnie zamknij Firefox i wywołaj menedżer profilów poprzez klawisz z flagą Windows + R i wklejenie poniższej komendy w polu Uruchom i OK: "C:\Program files\Mozilla Firefox\firefox.exe" -p W menedżerze usuń wszystkie widoczne profile i załóż nowy, zaloguj się na niego. Google Chrome: Ustawienia > karta Ustawienia > Osoby > na liście powinien być widoczny profil wstawiony przez adware pod nazwą user0. Należy ten profil usunąć i założyć nowy opcją Dodaj osobę. 3. W systemie jest więcej kont i wszystkie zdają się być zainfekowane: ==================== Konta użytkowników: ============================= DAMIAN (S-1-5-21-3091924290-661932203-592501800-1004 - Administrator - Enabled) => C:\Users\DAMIAN MATEUSZ (S-1-5-21-3091924290-661932203-592501800-1003 - Limited - Enabled) => C:\Users\MATEUSZ pipek (S-1-5-21-3091924290-661932203-592501800-1000 - Administrator - Enabled) => C:\Users\pipek Są potrzebne logi z wszystkich kont. Po kolei zaloguj się na każde poprzez pełny restart komputera (a nie opcje Wyloguj / Przełącz użytkownika) i na każdym zrób logi FRST z opcji Skanuj (Scan) czyli FRST.txt i Addition.txt, bez Shortcut. Na koncie limitowanym Mateusz uruchom FRST przez dwuklik, a nie Uruchom jako administrator, by nie zmienił się kontekst konta. Dołącz też plik fixlog.txt.

Korzystasz z potwornie starego FRST, uruchomiłeś kopię z folderu archiwalnego: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-01-2015 01 (ATTENTION: ====> FRST version is 631 days old and could be outdated) Running from C:\Users\Niiesmiertelny\Desktop\Nowy folder\FRST-OlderVersion Od tego czasu to z kilkaset wersji już było (z nowymi skanami i poprawkami)... Proszę o pobranie najnowszej wersji i zrobienie ponownie trzech logów (FRST.txt, Addition.txt, Shortcut.txt): KLIK. Tytułowy problem z Recovery jest poza skalą tego działu (orientowany wyłącznie na usuwanie infekcji) i temat pewnie zostanie przeniesiony. A do ewentualnego usprawnienia oraz czyszczenia z adware (obecne) samego systemu per se potrzebuję raporty FRST z najnowszej wersji.

Zasady działu do wglądu: KLIK. Linki infekcyjne należy podawać w sposób nieaktywny (zmieniłam). Brakuje trzeciego obowiązkowego pliku FRST Shortcut oraz GMER. Jeśli chodzi o infekcję, to jest dobrze widoczna: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\...\Run: [Application] => C:\Users\User\AppData\Roaming\app.exe [591360 2016-10-21] () Poza tym w systemie widać ślady także instalacji adware/PUP. Działania do przeprowadzenia: 1. Odinstaluj stare wersje (zagrożenie infekcjami) Adobe Shockwave Player 12.1, Java 8 Update 45, Java™ 6 Update 13 oraz zbędny MyFreeCodec (instalacja typu "PUP" od Samsunga) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\...\Run: [Application] => C:\Users\User\AppData\Roaming\app.exe [591360 2016-10-21] () HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\...\Run: [AdobeBridge] => [X] Task: {288CDC57-51D8-445B-B130-477AEA9AEA46} - System32\Tasks\Driver Booster SkipUAC (User) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {43BF71C1-6C50-47C1-97AE-580356B8E9A9} - System32\Tasks\{B6CAE659-5001-438C-8D0B-DCC5D7BDFD41} => Firefox.exe hxxp://ui.skype.com/ui/0/6.22.81.104/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {5CC86CA8-62D0-4B14-A788-4EB1F95298AC} - System32\Tasks\{4CC226A8-4E0F-4C84-96F5-C3FF85A08F30} => pcalua.exe -a C:\Users\User\Desktop\PP1300WGDIWinx86_1611120PL\PP1300WGDIWinx86_1611120PL\setup.exe -d C:\Users\User\Desktop\PP1300WGDIWinx86_1611120PL\PP1300WGDIWinx86_1611120PL Task: {68DE3ECE-3194-4ACC-B7F5-238E766DC16D} - \Inst_Rep -> Brak pliku Task: {90791DF4-3D58-4F1B-B347-AC2DC8E7BABB} - System32\Tasks\{37C8C52E-7FCA-44D3-A3EF-FF39D742E95A} => pcalua.exe -a C:\Users\User\AppData\Roaming\oursurfing\UninstallManager.exe -c -ptid=smt Task: {BDDDC19F-A158-43EA-9BBF-81658837F8A6} - System32\Tasks\{C2F59612-9445-4AA4-9ACC-ECDB8A2AC0C2} => pcalua.exe -a E:\Setup.exe -d E:\ S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1433077722&z=aca7491ac39e125b676fd7cgdz3c8o8t5t8gee0z3q&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1433077722&z=aca7491ac39e125b676fd7cgdz3c8o8t5t8gee0z3q&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hppp&ts=1433077747&z=a5a01537a45355b3760d66egbz2c6o5t0t5g2e6mcg&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hppp&ts=1433077747&z=a5a01537a45355b3760d66egbz2c6o5t0t5g2e6mcg&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1433077722&z=aca7491ac39e125b676fd7cgdz3c8o8t5t8gee0z3q&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1433077722&z=aca7491ac39e125b676fd7cgdz3c8o8t5t8gee0z3q&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=dspp&ts=1433077747&z=a5a01537a45355b3760d66egbz2c6o5t0t5g2e6mcg&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hppp&ts=1433077747&z=a5a01537a45355b3760d66egbz2c6o5t0t5g2e6mcg&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=dspp&ts=1433077747&z=a5a01537a45355b3760d66egbz2c6o5t0t5g2e6mcg&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&q={searchTerms} HKU\S-1-5-21-1538902908-1056142196-2300059988-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=0003446E&OHP=about%3ATabs&OSP=http%3A%2F%2Fwww.oursurfing.com%2Fweb%2F%3Futm%5Fsource%3Db%26utm%5Fmedium%3Dsmt%26utm%5Fcampaign%3Dinstall%5Fie%26utm%5Fcontent%3Dds%26from%3Dsmt%26uid%3DWDCXWD10PURX%2D64D85Y0%5FWD%2DWCC4JHRA7XYKA7XYK%26ts%3D1433077753%26type%3Ddefault%26q%3D%7BsearchTerms%7D SearchScopes: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.oursurfing.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&ts=1433077753&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.oursurfing.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&ts=1433077753&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&ts=1433077753&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1538902908-1056142196-2300059988-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.oursurfing.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK&ts=1433077753&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {d00ab4cc-662c-40b6-a85f-d53086f4bb16} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1433077722&z=aca7491ac39e125b676fd7cgdz3c8o8t5t8gee0z3q&from=smt&uid=WDCXWD10PURX-64D85Y0_WD-WCC4JHRA7XYKA7XYK FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\44ebqatm.default\extensions\sweetsearch@gmail.com => nie znaleziono FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku] C:\end C:\Program Files (x86)\Mozilla Firefox\extensions C:\ProgramData\mntemp C:\ProgramData\TEMP C:\Users\User\AppData\Roaming\app.exe C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zzaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.

Podałam, by uruchomić DelFix oraz wyczyścić foldery Przywracania systemu zgodnie z instrukcją. W instrukcji jest wyraźnie napisane, że folderów Przywracania nie czyści się ręcznie (czyli żadne "SHIFT+DEL") tylko via opcje Windows i są rozpisane kroki pokazujące na obrazkach jak to zrobić. Nie wiem jaki był stan wcześniej (czy naprawdę był SP1), nie wiem co się stało że go nie ma (nie robiłeś aby nakładkowej reinstalacji systemu z płyty?), ale log wyraźnie mówi, że jest tu goły Windows i nie tylko SP1 brakuje.

Temat jedzie do działu Windows. To nie jest problem infekcji. Menedżer zadań przełączył się na wbudowany tryb skrojony (tzw. "tiny footprint mode"). Dwuklik w ramkę menedżera, by go przełączyć na wersję pełną. Sprawdź czy pomoże wyczyszczenie cookies należących do Facebooka. Z raportów nic nie wynika. Jedyne co widzę, to błędy w Dzienniku związane z plugin-container (czyli motorem wtyczek): Error: (10/17/2016 09:24:58 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: plugin-container.exe, wersja: 49.0.1.6109, sygnatura czasowa: 0x57e44563 Nazwa modułu powodującego błąd: mozglue.dll, wersja: 49.0.1.6109, sygnatura czasowa: 0x57e43eea Kod wyjątku: 0x80000003 Przesunięcie błędu: 0x0000e846 Identyfikator procesu powodującego błąd: 0x1814 Godzina uruchomienia aplikacji powodującej błąd: 0x01d2289e30701748 Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe Ścieżka modułu powodującego błąd: C:\Program Files (x86)\Mozilla Firefox\mozglue.dll Identyfikator raportu: 63e69fa7-949f-11e6-b8b1-18f46af4d8fb - Sprawdź co się stanie, gdy na liście wtyczek wyłączysz wszystkie z wyjątkiem Adobe Flash i przeładujesz Firefox. - Sprawdź czy skaner webowy od Avast ma coś do rzeczy. PS. Do wykonania poboczne działania: 1. Odinstaluj stare wersje oraz inne zbędne instalacje: Apple Mobile Device Support, Bonjour, Codecs for Windows 7 Pack 4.0.5 (częściowo naruszony), Facebook Video Calling 3.1.0.521, Java 8 Update 77 (64-bit), Java 8 Update 77, Java SE Development Kit 8 Update 31 (64-bit), Opera 12.17, QuickTime, Real Alternative 1.9.0 Lite, Skype Toolbars, WarThunder (adware imitujące grę), Windows Media Player Firefox Plugin. 2. Czyszczenie odpadków adware/PUP, wpisów pustych i Tempów. Komenda czyszczenia Temp usuwa też Cookies głównych przeglądarek (z wyłączeniem starej zdezelowanej Opery zaleconej do deinstalacji), więc może być zmiana pod kątem problemu logowania Facebook. Ponadto skrypt FRST zaadresuje poniższe błędy poprzez reset bazy certyfikatów (idstore.*): Dziennik System: ============= Error: (10/19/2016 06:52:22 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (10/19/2016 06:52:22 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (10/19/2016 06:52:22 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: Chmura protokołu rozpoznawania nazw równorzędnych nie została uruchomiona, ponieważ tworzenie tożsamości domyślnej nie powiodło się; kod błędu: 0x80630801. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF Homepage: Mozilla\Firefox\Profiles\yx8u7ari.default -> hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun Task: {40C7352F-A2A4-48D0-9E0A-0BD32C210BA8} - System32\Tasks\{C453D953-1BAD-472E-89BC-7486AC1C494E} => Chrome.exe hxxp://ui.skype.com/ui/0/7.6.64.103/pl/abandoninstall?page=tsBing Task: {83CE76BE-AA6A-4F00-A727-6F19DCDA7EBC} - System32\Tasks\{28BDA284-77B9-481E-8363-26E6CCA70EE4} => E:\StarCraft+BroodWar\StarCraft.exe Task: {8745148F-3400-40A6-82CE-E7153A08CA51} - System32\Tasks\{58FF0A87-54C6-4969-BD06-7649B1970D08} => E:\StarCraft+BroodWar\StarCraft.exe Task: {CA08AA02-FA27-4FEB-B488-27C2C802ADD1} - System32\Tasks\{6D18DEF1-F530-4B65-B75E-CFA14E2FE172} => C:\Program Files (x86)\Skype\\Phone\Skype.exe C:\ProgramData\Microsoft\Windows\GameExplorer\{23C423C7-A47A-4F75-8F4C-64FBF2155932} C:\ProgramData\Microsoft\Windows\GameExplorer\{F1AB869D-89BC-4FC9-B966-FE7B566543D0}\PlayTasks\2\Naprawa.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codecs for Windows 7 Pack C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Machinarium C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MetaGeek C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 Software Ltd C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Kuba\AppData\Local\Microsoft\Windows\GameExplorer\{199EC88A-4CBF-4A0F-9497-23388406AC06} C:\Users\Kuba\AppData\Local\Microsoft\Windows\GameExplorer\{2BFED2E8-301F-451B-AAC7-BB9AFFFACE73} C:\Users\Kuba\AppData\Local\Microsoft\Windows\GameExplorer\{DC7A8DAA-8A18-47FE-B124-C91556CABB58} C:\Users\Kuba\AppData\Roaming\Skype C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V4.6.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Video Converter Uninstall Video Converter.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Video Converter Video Converter.lnk C:\Users\Desktop\Cyberlink Power2Go.lnk C:\Users\Desktop\CyberLink YouCam.lnk C:\Users\Public\Desktop\inSSIDer Home.lnk C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* RemoveDirectory: C:\Users\Gość CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Skrypt pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz FRST i jego logi z folderu ftps na Pulpicie. Następnie wyczyść punkt Przywracania utworzony przez FRST: KLIK. To wszystko.

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z katalogu "Nowy folder" w Pobranych. Następnie skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Jest tu zainstalowany Baidu Antivirus. Chiński program w zastoju rozwojowym (chyba wycofują się z zachodniego rynku), montowany metodami "PUP" i wiary bym w niego za bardzo nie pokładała. Popatrz na listę oprogramowania co w zamian: KLIK. 3. System wymaga ogromnej aktualizacji. Stan obecny to łysy Windows 7 bez SP1 (zablokowane aktualizacje), IE11 i ogromnej ilości łat wydanych między SP1 a dniem dzisiejszym. Największe paczki podstawowe zlinkowane w przyklejonym temacie: KLIK. Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

AdwCleaner wykrył jeszcze różne szczątki adware. Uruchom go ponownie i tym razem wybierz sekwencję opcji Skanuj + Oczyść. Przedstaw log z czyszczenia (z oznaczeniem "C" w nazwie).

Nie widzę tutaj żadnej infekcji związanej z opisywanymi objawami... FRST w ogóle nie skanuje Thunderbird, więc nie wiadomo co w nim jest zainstalowane. Z raportu FRST można wywnioskować tylko tyle, że jest conajmniej jedno (nieszkodliwe) rozszerzenie aktywnie załadowane i nic poza tym. Skoro następują jakieś niepożądane ingerencje w treści e-mail, zdeaktywuj wszystkie rozszerzenia zamontowane w Thunderbird, następnie przeładuj program i sprawdź czy jest jakaś zmiana. 2013-07-19 19:06 - 2012-11-21 07:26 - 00008704 _____ () C:\Users\acer\AppData\Roaming\Thunderbird\Profiles\rvy7ksvj.default\extensions\mintrayr@tn123.ath.cx\lib\tray_x86-msvc.dll Natomiast w systemie są obiekty adware PriceFountain i SafeFinder, przy okazji można usunąć masowe przekierowania Avira search.avira.net (to modyfikacje typu "PUP"). Obiekty PriceFountain w Harmonogramie są globalne i to ewentualnie mogłoby się łączyć z pokazywaniem w Thunderbird jakiś treści reklamowych, ale te zadania PriceFountain wyglądają na martwe / nieaktywne (nie widzę w załadowanych modułach pasującego obiektu). 1. Są tu dwa antywirusy, odinstaluj Microsoft Security Essentials. Do deinstalacji także Tlen.pl - martwy komunikator i sieć komunikacyjna. Obecnie jedyne co działa to tylko poczta. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0C038161-06C4-4C7C-9A6A-3FBAEE56D6E2} - System32\Tasks\acerMaxwellsProbabilitiesV2 => Rundll32.exe PlunderingGargling.dll,main 7 1 Task: {417802E5-0367-4539-8A8C-C7459B9DE135} - System32\Tasks\{128D6072-B423-9421-A97D-30E62BD88BBC} => C:\Users\acer\AppData\Roaming\PRICEF~1\PRICEF~1.EXE Task: C:\Windows\Tasks\{128D6072-B423-9421-A97D-30E62BD88BBC}.job => C:\Users\acer\AppData\Roaming\PRICEF~1\PRICEF~1.EXE S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe shuz -f "C:\ProgramData\\Quotenamron\\Quotenamron.dat" -l -a U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X] S3 pcidnt; \SystemRoot\System32\Drivers\pcidnt.sys [X] S4 sptd; System32\Drivers\sptd.sys [X] S3 vdrive; system32\DRIVERS\vdrive.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] MSCONFIG\Services: GamesAppService => 3 MSCONFIG\startupreg: DAEMON Tools Lite => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun MSCONFIG\startupreg: Komunikator => C:\Program Files (x86)\Tlen.pl\tlen.exe HKU\S-1-5-21-2578688233-1128249932-317870856-1000\...\Policies\Explorer: [] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2578688233-1128249932-317870856-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net HKU\S-1-5-21-2578688233-1128249932-317870856-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = hxxp://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6R8RQlLk9E&i=26 SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> {DD95CDBF-AD1E-4CD5-881B-9DC2BA807971} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKU\S-1-5-21-2578688233-1128249932-317870856-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOPhKRDZNIMBCaScL8ajo9LZP05mlgd1QQC44ntB-v0Cb6bl84TKM4nJZzgM-0Z1oCzIP_mVouJ-K4z5wSyMmGE1jtBhAv70SPTgW6a9LlJvJWtR86Iygb8OH4RNhEHybrxLNUWg4P0djrlJw-TIh07LE8u72nD&q={searchTerms} StartMenuInternet: FIREFOX.EXE - firefox.exe StartMenuInternet: Google Chrome - Chrome.exe StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Extensions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra C:\Users\acer\AppData\Local\MaxwellsProbabilities C:\Users\acer\AppData\Roaming\*.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Nie wiem skąd pobierałeś paczki, nie wiem dokładnie która z nich wprowadziła trojana i nie daję żadnych gwarancji. Jedyne co można wywnioskować z logów, to że ElfBot został zainstalowany 17 października, a infekcja pojawiła się dokładnie tego samego dnia, czyli prawdopodobnie to ten Elfbot ją załadował. Jeśli paczka ma zintegrowanego szkodnika, nie da się go po prostu "usunąć" z tej paczki i zainstalować "czystą wersję". Program (dla naiwnych) został zaprojektowany, by załadować malware, którego prawdopodobny cel to wyciągnięcie jakiś danych z Tibia (np. dane logowania), a być może innych czułych danych systemu. Po właśnie przeprowadzonym usuwaniu malware należy zmienić dane logowania Tibia, a prewencyjnie także innych serwisów. Wszystko zrobione. Drobny skrypt poprawkowy na szczątki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG CMD: del /q "C:\Users\FruGo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Curse.lnk" CMD: del /q C:\Users\FruGo\Downloads\m1b4p811.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Skrypt pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder "frst" z Pulpitu + pobrany GMER. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko z mojej strony.

Kończymy: 1. Nadal w Google Chrome jest wpis adware. - Zresetuj synchronizację (o ile włączona), by zapobiec odtwarzaniu złych ustawień z serwera: KLIK. - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres home.sweetim.com. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu foldery FRST + GMER. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

vs. Żadnych oznak infekcji tego rodzaju tu nie było. Skan Cybertarczy opiera się na ocenie IP, a nie skanie systemu. Orange przydziela zmienne adresy IP. Jest tu prawdopodobne, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer.