picasso

Widzę że Fix był uruchamiany aż trzy razy. Ten opisywany przestój musiał się wydarzyć na przetwarzaniu linii C:\Users\Adrian_ (niepoprawny folder konta prawdopodobnie utworzony przez adware), gdyż do tej linii wszystko jest "nie znaleziono" (Fix nie przetworzy ponownie tego samego). Kończymy: 1. Nowy profil Google Chrome pomyślnie założony. Jeśli brakuje Ci zakładek, możesz je ewentualnie odzyskać z folderu martwego już pierwotnego profilu Chrome. Zamknij Google Chrome. Przekopiuj plik Bookmarks z folderu: C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default do: C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Profile 2 Uruchom Google Chrome i sprawdź czy zakładki są na miejscu. 2. Następnie przez SHIFT+DEL (omija Kosz) skasuj poniższe foldery z dysku, pierwszy to odpadek fałszywego profilu, a drugi to martwy obiekt: C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default Usuń także C:\uxldrpog.sys od GMER, folder C:\MATS oraz FRST i jego logi z "Nowego folderu" + folder "Frst" na Pulpicie. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj stare wersje (luki prowadzące do infekcji, w tym szyfrujących dane): Adobe Reader 9.3 - Polish, Java 8 Update 71, Java 8 Update 101. Pobieranie najnowszych wersji także w w/w linku.

Wszystko zrobione, ale jeszcze drobne poprawki, bo przetwarzałeś skrypt w momencie gdy go jeszcze korygowałam dodając pewne wpisy (myślałam, że zdążyłam to zrobić przed Twoim przeczytaniem tematu) + usuwanie używanych narzędzi. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "BingSvc" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "svchost0" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\Users\myy\Doctor Web RemoveDirectory: C:\Users\myy\AppData\Roaming\DAEMON Tools Lite RemoveDirectory: C:\Users\myy\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\myy\Desktop\mbar StartBatch: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk" del /q C:\Users\myy\Desktop\RepairDNS.txt del /q C:\Users\myy\Downloads\BootkitRemoval_x64.exe del /q C:\Users\myy\Downloads\bqfvl8xg.exe del /q C:\Users\myy\Downloads\gmer*.txt del /q C:\Users\myy\Downloads\mbam-setup-2.2.1.1043.exe del /q C:\Users\myy\Downloads\mbar-1.09.3.1001.exe del /q C:\Users\myy\Downloads\MicrosoftProgram_Install_and_Uninstall.meta.diagcab del /q C:\Users\myy\Downloads\RepairDNS*.exe del /q C:\Users\myy\Downloads\SPTDinst-v189-x64.exe del /q C:\Users\myy\Downloads\xly9plor.exe del /q C:\WINDOWS\Minidump\*.dmp EndBatch: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Fałszywy Firefox jest prawdopodobnie regenerowany przy udziale zadania "ChelfNotify Task" w Harmonogramie. Fałszywka podstawiła wszystkie skróty Firefox, ustawiła się jako domyślna przeglądarka oraz pracuje na własnym spreparowanym profilu. Ponadto, profil fałszywki został zreplikowany w poprawnej ścieżce prawdziwego Firefoxa i jest tu wymagane nie tylko usunięcie fałszywego FF, ale i przetasowanie profilów prawdziwego. Operacje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware amuleC, UvConverter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKU\S-1-5-21-488659936-1714191775-3546540212-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKU\S-1-5-21-488659936-1714191775-3546540212-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKU\S-1-5-21-488659936-1714191775-3546540212-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKU\S-1-5-21-488659936-1714191775-3546540212-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 Tcpip\..\Interfaces\{69D3E49B-883F-443E-BA62-F558F484AEF6}: [DhcpNameServer] 45.63.123.163 8.8.4.4 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BootExecute: autocheck autochk * aswBoot.exe /M:aae4a41333 /wow /dir:"C:\Program Files\AVAST Software\Avast" MSCONFIG\Services: CommandHandler => 2 MSCONFIG\Services: ed2kidle => 2 MSCONFIG\Services: FirefoxU => 2 MSCONFIG\Services: McComponentHostService => 3 MSCONFIG\Services: MyWiFiDHCPDNS => 3 MSCONFIG\Services: UvConverter => 2 MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup U0 aswVmm; Brak ImagePath Task: {36B8F827-CF6A-42BF-8287-D3422BBA0988} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-09-29] (AVAST Software) Task: {840E3568-D6A9-4A0E-A381-2E4D4C14C554} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\ByteFence C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files\OpenTTD.rar C:\Program Files (x86)\5808DFDD_jumpeasy C:\Program Files (x86)\amuleC C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Firefox C:\Program Files (x86)\UvConverter C:\Program Files (x86)\uvconvrx_00000000 C:\ProgramData\AVAST Software C:\ProgramData\BaofengUpdate_U C:\ProgramData\ChelfNotify C:\ProgramData\chuvc C:\ProgramData\corss C:\ProgramData\hadga C:\ProgramData\UvConverter C:\ProgramData\WCMShare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Lenovo\AppData\Local\Firefox C:\Users\Lenovo\AppData\Roaming\aMule C:\Users\Lenovo\AppData\Roaming\Bongo C:\Users\Lenovo\AppData\Roaming\Firefox C:\Users\Lenovo\AppData\Roaming\TuneUp Software C:\Users\Lenovo\AppData\Roaming\WCMShare C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC C:\Users\Lenovo\Desktop\Mozilla Firefox.lnk C:\Users\Lenovo\Desktop\Old Firefox Data C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Users\Lenovo\Downloads\BongOTS.exe C:\Windows\system32\log C:\Windows\System32\Tasks\AVAST Software C:\Windows\SysWOW64\xaa C:\Windows\SysWOW64\xaabbbbbbb CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Fałszywy Firefox i jego skróty zostały usunięte w/w procedurą, ręcznie odtwórz skróty do prawdziwego Firefoxa. Uruchom go, ustaw jako domyślną przeglądarkę i wyeksportuj zakładki, o ile jest co eksportować... Następnie zamknij Firefox i wywołaj menedżer profilów poprzez klawisz z flagą Windows + R i wklejenie poniższej komendy w polu Uruchom i OK. W menedżerze usuń wszystkie widoczne profile i załóż nowy, zaloguj się na niego. "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Jeden temat nowszy niż Twój został przetworzony (bo w nim była aktywna infekcja i trzeba było działać szybko, by zapobiec załadowaniu większej ilości śmieci), inne były starsze. Ja mam zaległości z całego tygodnia i nie wyrabiam. Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. Logi z FRST zrobiłeś w niepoprawnym środowisku. Zgłoszenie zablokowanej usługi BFE i wielu usług w stanie nierozpoznanym "U" oraz "uszkodzenia WMI" i "niepowodzenie przy listowaniu..." w logu FRST to typowy objaw uruchomienia FRST w piaskownicy COMODO. Musiałeś widzieć zieloną obwódkę naokoło okna FRST. FRST uruchomiony z poziomu piaskownicy COMODO nie działa poprawnie, nie ma dostępu do skanowanych obszarów, a żadnych zmian za jego pomocą nie można prowadzić (są wirtualne i zostaną odkręcone przez COMODO). To uwagi na przyszłość, nowe logi FRST nie są mi tu potrzebne, by ocenić sytuację. Przy okazji, wszystkie logi FRST są w złym kodowaniu ANSI a nie poprawnym UTF-8 - czyżbyś je zapisywał ręcznie do nowych plików? Co to konkretnie oznacza i jakie aplikacje masz na myśli? Czy nie chodzi tu aby o błędy typu "Odmowa dostępu"? W takiej sytuacji oczywiście pierwszy podejrzany to COMODO. ADKOSD2.exe to proces od instalacji "ATK Package" niezbędnej do obsługi touchpada oraz klawiszy funkcyjnych laptopa i tu raczej nic się nie da zdziałać. HKLM-x32\...\Run: [ATKOSD2] => C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [406328 2013-11-20] (ASUSTek Computer Inc.) svchost hostuje dużo usług i należy zdefiniować o które wystąpienie chodzi. Prawoklik na ten konkretny svchost > Przejdź do usług > wypisz podświetlone. Jeśli w zestawie będzie Windows Update, upewnij się że masz zainstalowane te dwie łaty (pierwsza wymagana dla tej drugiej): KB3020369 + KB3172605. Błąd ACMON produkuje zadanie w Harmonogramie od instalacji "ASUS Splendid Video Enhancement Technology": Task: {88F5CD44-9B35-4159-A19A-01EB20EE1FEA} - System32\Tasks\ACMON => C:\Program Files (x86)\ASUS\Splendid\ACMON.exe [2016-10-18] (ASUS) Możliwe postępowanie do wyboru: - Tylko wyłączyć zadanie w Harmonogramie za pomocą przystawki taskschd.msc. - Kompletnie odinstalować tę aplikację, to jest Asusowe "polepszanie jakości ekranu" i nie jest niezbędne. Status i wymuszanie powinny być dostępne z poziomu panelu sterowania Nvidia. Sprawdź czy masz opcję podobną do tej która pokazuje które GPU jest w użyciu: KLIK.

Problemem nie jest infekcja, temat przenoszę do działu Hardware na diagnostykę dysku: "4 KB w uszkodzonych sektorach" może być przyczyną zawieszeń oraz błędów w Dzienniku zdarzeń sugerujących uszkodzenie określonych obiektów: Dostarcz materiały pod kątem sprzętowym: KLIK. Gdy się okaże, że jest tu sens inwestować w dalsze czyszczenie: Ten problem rozwiązuje instalacja KB3172605. By móc tę łatę zaaplikować, należy się upewnić czy w systemie jest aktualizacja KB3020369. W przypadku gdy próba instalacji głównej łaty uruchamia ponownie długie wyszukiwanie Windows Update, należy ubić tymczasowo proces Windows Update i przełączyć typ startowy usługi, i po tym ponowić instalację z dysku. Następnie po instalacji uruchomić Windows Update i załadować wszystkie istotne aktualizacje. Może być ich sporo, co sugeruje stara niewspierana już wersja IE10 figurująca w nagłówku raportu FRST. Są tu owszem ślady adware, w tym przekonwertowana przez adware przeglądarka Google Chrome (z wersji stabilnej na deweloperską bez ograniczeń). Niemniej to są rzeczy skali mikro (głównie w formie odpadkowej) i nie mogą powodować opisywanych objawów. W spoilerze doczyszczanie szczątków adware, odinstalowanych aplikacji, artefaktów wstawionych przez ComboFix, uszkodzonego sterownika SPTD (od odinstalowanego DAEMON Tools Lite) oraz innych pustych wpisów:

Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

W wynikach wyszukiwania rejestru nie ma nic powiązanego z tor. Natomiast na dysku powstał niepożądany plik od zadania w Harmonogramie. Poproszę o nowe raporty z FRST (FRST.txt i Addition.txt).

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Temat wydzielony w osobny. Dostacz wymagane logi: KLIK.

Nie, absolutnie nic złego nie zrobiłeś. Ja po prostu mówię, że instrukcje które muszę tu przygotować wymagają więcej czasu, a ja go nadal nie mam (po nieobecności muszę się zająć tematami w których w ogóle nie udzieliłam odpowiedzi).

Problem ze skrótami powoduje infekcja zaszyta we WMI systemowym, skrypt tam osadzony w predefiniowanych odstępach czasu reinfekuje wszystkie skróty przeglądarek. Ale to nie jedyne problemy z adware - są tu też aktywne obiekty malware w Print Providers, samoistne autoryzacje malware w programach antywirusowych i różne inne śmieci. Operacje do wdrożenia: 1. Deinstalacje: - Klawisz z flagą Windows + X >Programy i funkcje > odinstaluj potwornie stary Adobe Reader 6.0 CE. To niebezpieczna wersja, dziurawa jak sito, silne zagrożenie infekcjami (w tym szyfrującymi dane). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń dwa ukryte i zbędne śledzące programy Lenovo: Metric Collection SDK + Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\myy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\myy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\myy\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\myy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\myy\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\myy\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ HKLM\...\Providers\6s0rrtre: C:\drivers\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\7cex2nn0: C:\Gry\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\8cisg264: C:\Fifa\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\9f3te1cv: C:\Users_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\9pfsretp: C:\Program Files (x86)\\local64spl.dll HKLM\...\Providers\hnq3zruc: C:\\local64spl.dll HKLM\...\Providers\hofdfux9: C:\drivers_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\j2kuhb1x: C:\Program Files (x86)_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\mwyc24vk: C:\_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\o4v17d23: C:\Downloads\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\qiybsgh4: C:\Downloads_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\qjevioom: C:\Gry_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\sm8iznf8: C:\Users\\local64spl.dll HKLM\...\Providers\xul8d7gf: C:\Fifa_\local64spl.dll [143360 2016-10-19] () HKU\S-1-5-18\...\Run: [] => 0 HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "BingSvc" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "svchost0" NETSVCx32: HpSvc -> Brak ścieżki do pliku. S0 mfeelamk; C:\WINDOWS\System32\drivers\mfeelamk.sys [82072 2015-08-10] (McAfee, Inc.) TasksDetails: Task: {03F68544-AA8E-45C8-AA0F-C92BA9123BE5} - System32\Tasks\psv_Fax-Bam => /c regedit.exe /s "C:\ProgramData\Quoteex\Alphaex.reg" & del "C:\ProgramData\Quoteex\Alphaex.reg" & SCHTASKS /Delete /TN "psv_Fax-Bam" /F Task: {0524F820-0A67-468A-AEBA-D0E1FD8242F9} - System32\Tasks\psv_IceTech => /c regedit.exe /s "C:\ProgramData\Quoteex\Geocom.reg" & del "C:\ProgramData\Quoteex\Geocom.reg" & SCHTASKS /Delete /TN "psv_IceTech" /F Task: {1C73827B-871E-4E83-95C3-01952B7E73FB} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {1FF7AD7D-329A-48AE-9688-9E646A9BF294} - System32\Tasks\psv_GreenDom => /c regedit.exe /s "C:\ProgramData\Quoteex\Soncof.reg" & del "C:\ProgramData\Quoteex\Soncof.reg" & SCHTASKS /Delete /TN "psv_GreenDom" /F Task: {42AB9ED0-ED66-4C75-B9F4-472D57E22F02} - System32\Tasks\psv_Movehome => /c regedit.exe /s "C:\ProgramData\Quoteex\Hometom.reg" & del "C:\ProgramData\Quoteex\Hometom.reg" & SCHTASKS /Delete /TN "psv_Movehome" /F Task: {560A7581-DF99-4679-8E13-466E1266DCB4} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {5CFA38CE-0B6C-4321-A11A-04FC1CC17661} - System32\Tasks\psv_Softtip => /c regedit.exe /s "C:\ProgramData\Quoteex\PhysZuming.reg" & del "C:\ProgramData\Quoteex\PhysZuming.reg" & SCHTASKS /Delete /TN "psv_Softtip" /F Task: {651CB129-AD5D-4180-BF30-07E56A0835C7} - System32\Tasks\{2A362A6F-E012-4DA8-9D3D-8A8EB6FE6CE3} => pcalua.exe -a E:\dx9\dxsetup.exe -d E:\dx9 Task: {67C00B66-FB41-453A-8A65-932C09A08F77} - System32\Tasks\psv_Superlax => /c regedit.exe /s "C:\ProgramData\Quoteex\Hat-Dox.reg" & del "C:\ProgramData\Quoteex\Hat-Dox.reg" & SCHTASKS /Delete /TN "psv_Superlax" /F Task: {68F04126-57D8-495F-AD1D-332AA7372046} - System32\Tasks\Plavey Agent => C:\Program Files (x86)\Preniy\arakut.exe [2016-10-14] (Glarysoft Ltd) Task: {859C57B7-D9A9-4ADC-86AA-4620DAE93ACE} - System32\Tasks\93aa3668456c544e837b18bf555c602f => Rundll32.exe "C:\Program Files (x86)\mpck\hv6bg8.dll",e62dc6c6547f46bda862da2d05af6862 Task: {89B18B47-FB9B-490E-8798-B3692648FBBC} - System32\Tasks\psv_Qvola => /c regedit.exe /s "C:\ProgramData\Quoteex\Rannix.reg" & del "C:\ProgramData\Quoteex\Rannix.reg" & SCHTASKS /Delete /TN "psv_Qvola" /F Task: {B28A99A7-765F-4B9F-BFDF-186EF499F97A} - System32\Tasks\psv_Ranktone => /c regedit.exe /s "C:\ProgramData\Quoteex\GoldDonlight.reg" & del "C:\ProgramData\Quoteex\GoldDonlight.reg" & SCHTASKS /Delete /TN "psv_Ranktone" /F Task: {C02A7478-054F-4712-B077-A45C846836DD} - System32\Tasks\psv_Stanity => /c regedit.exe /s "C:\ProgramData\Quoteex\NewCom.reg" & del "C:\ProgramData\Quoteex\NewCom.reg" & SCHTASKS /Delete /TN "psv_Stanity" /F Task: {DA9741AD-0F09-464F-95D9-F44EB0294894} - System32\Tasks\psv_Tipfresh => /c regedit.exe /s "C:\ProgramData\Quoteex\Tranex.reg" & del "C:\ProgramData\Quoteex\Tranex.reg" & SCHTASKS /Delete /TN "psv_Tipfresh" /F Task: {E6CEEBF6-4A7B-4F46-9A9C-BCB071C80475} - System32\Tasks\psv_TrippleDublux => /c regedit.exe /s "C:\ProgramData\Quoteex\K-air.reg" & del "C:\ProgramData\Quoteex\K-air.reg" & SCHTASKS /Delete /TN "psv_TrippleDublux" /F CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{749716AD-5C7B-4C25-BD02-92EE9F1572E1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\_ C:\Downloads_ C:\drivers_ C:\Fifa_ C:\Gry_ C:\Program Files (x86)_ C:\Program Files (x86)\local64spl.dll.ini C:\Program Files (x86)\Atabickcherjertain C:\Program Files (x86)\Preniy C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\TOSTACK C:\Users_ C:\Users\local64spl.dll.ini C:\Users\myy\AppData\Local\{2EDFA256-042A-4627-820B-F631D48896BF} C:\Users\myy\AppData\Local\{550BB3CD-3C8E-4726-AB1B-8891EEBDB36A} C:\Users\myy\AppData\Local\BTServer.log C:\Users\myy\AppData\Local\CEF C:\Users\myy\AppData\Local\Kurery C:\Users\myy\AppData\Local\Pojuwardperciied C:\Users\myy\AppData\Local\svchost C:\Users\myy\AppData\Local\Tempfolder C:\Users\myy\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\myy\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\myy\AppData\LocalLow\Company C:\Users\myy\AppData\LocalLow00729AB0 C:\Users\myy\AppData\LocalLow00D31640 C:\Users\myy\AppData\LocalLow00D57000 C:\Users\myy\AppData\LocalLow00E0C958 C:\Users\myy\AppData\LocalLow011042E0 C:\Users\myy\AppData\LocalLow0130C380 C:\Users\myy\AppData\LocalLow00000016036BCDD8 C:\Users\myy\AppData\LocalLow0000005C533ACCE8 C:\Users\myy\AppData\LocalLow0000008A5347C598 C:\Users\myy\AppData\LocalLow00000090E826A078 C:\Users\myy\AppData\LocalLow00000098487AA3B8 C:\Users\myy\AppData\LocalLow0000009F11E2A3B8 C:\Users\myy\AppData\Roaming\*.* C:\Users\myy\AppData\Roaming\Arosphernoph C:\Users\myy\AppData\Roaming\DAEMON Tools Lite C:\Users\myy\AppData\Roaming\Microleaves C:\Users\myy\AppData\Roaming\Mozilla C:\Users\myy\AppData\Roaming\WarThunder C:\Users\myy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Public\Desktop\Opera.lnk C:\Users\Public\Thunder Network C:\WINDOWS\system32\dihn C:\WINDOWS\System32\drivers\mfeelamk.sys C:\WINDOWS\SysWOW64\kz.exe C:\WINDOWS\SysWOW64\Number of results Folder: C:\Users\myy\AppData\Local\Apps\2.0 CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Są tu ślady malware manipulującego w wykluczeniach programów antywirusowych. Sztucznie dorobione do Windows Defender i nieistniejących programów AVG i Avira już zaadresowane w/w skryptem. Inna sprawa jest jednak z zainstalowanym i aktywnym Avast - nie można usunąć ani zmanipulować jego pliku exclusions.ini, gdy jest aktywny. Dlatego też musisz ręcznie w konfiguracji Avast sprawdzić listę wykluczeń i usunąć z niej wszystko. 4. Usunięte skróty Opera odtwórz ręcznie w wybranych miejscach. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Temat nie został ominięty. Nie mogłam być aktywna przez ostatni tydzień, a teraz nie jestem w stanie przygotować tych instrukcji w obliczu tematów które jeszcze w ogóle nie zostały przetworzone.

Tak jak w przypadku innych tematów, zero oznak infekcji szyfrującej dane. Diagnoza tarczy jest wynikiem oceny IP a nie rzetelnego skanu systemu. PS. Możesz wykonać drobne poboczne działania: 1. Odinstaluj zbędny "downloader" Akamai oraz stare wersje JDK: Akamai NetSession Interface, Java SE Development Kit 7 Update 79 (64-bit), Java SE Development Kit 8 Update 51 (64-bit). 2. W Firefox odinstaluj rozszerzenia: Auto Refresh (bardzo stara wersja z 2011 i nie działa poprawnie), BlockSite (to spyware marki Wips.com: KLIK), PopVideo (reklamy i problemy z prywatnością: KLIK), SkipScreen (wątpliwej reputacji i już dawno porzucone: KLIK), uBlock (to gorsza nierozwijana już wersja: KLIK). Adblock Plus też nie jest Ci potrzebny przy uBlock Origgin. 3. Usunięcie szczątkowych wpisów (w tym pustych skrótów) i czyszczenie Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Restriction HKU\S-1-5-21-2425397994-473716014-1509793327-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\02494708.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\29158755.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\02494708.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\29158755.sys => ""="Driver" S3 dtlitescsibus; C:\Windows\System32\drivers\dtlitescsibus.sys [30264 2015-11-04] (Disc Soft Ltd) S3 TesSafe; C:\Windows\system32\TesSafe.sys [1101024 2016-06-03] (TENCENT) S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] MSCONFIG\Services: Disc Soft Lite Bus Service => 3 MSCONFIG\Services: BstHdAndroidSvc => 3 MSCONFIG\Services: BstHdLogRotatorSvc => 3 MSCONFIG\Services: BstHdUpdaterSvc => 3 MSCONFIG\Services: Droid4XService => 2 MSCONFIG\Services: SbieSvc => 2 MSCONFIG\Services: Service KMSELDI => 2 MSCONFIG\Services: TeamViewer => 2 HKLM\...\StartupApproved\Run32: => "Aeria Ignite" HKLM\...\StartupApproved\Run32: => "BlueStacks Agent" HKLM\...\StartupApproved\Run32: => "EaseUS EPM tray" HKLM\...\StartupApproved\Run32: => "ISCT Tray" HKLM\...\StartupApproved\Run32: => "VX1000" HKLM\...\StartupApproved\Run32: => "EaseUS Cleanup" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\StartupFolder: => "CurseClientStartup.ccip" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\StartupFolder: => "AudioSwitch.lnk" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "FlashGet 3" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "Akamai NetSession Interface" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "SandboxieControl" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "GalaxyClient" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "FlashPlayerUpdate" C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert Online.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Extras\AutoItX\VBScript Examples.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Desert Online C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberStep, Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dark Souls III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V\Play Grand Theft Auto V.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NARUTO SHIPPUDEN Ultimate Ninja STORM 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SQUARE ENIX\FINAL FANTASY XIV - A Realm Reborn C:\Users\Adrian\AppData\Local\FluxSoftware C:\Users\Adrian\AppData\Roaming\DAEMON Tools Lite C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\BlueStacks.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AeriaGames C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\qhrxejcq.default\searchplugins C:\Windows\system32\TesSafe.sys C:\Windows\System32\drivers\dtlitescsibus.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Tak, tu tylko zostało zastosowanie DelFix i czyszczenie folderów Przywracania systemu, które są opisane w przyklejonym. Temat rozwiązany. Zamykam.

Działania do wykonania: 1. Odinstaluj stare wersje z lukami (zagrożenie infekcjami szyfrującymi dane): Adobe Flash Player ActiveX, Java 8 Update 40 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {151EFC16-39A7-4F10-9E2C-7443113F71BD} - System32\Tasks\bartek => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v bartek /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" HKU\S-1-5-21-2363649901-2762790907-3881788747-1000\...\Run: [bartek] => explorer.exe hxxp://kb-ribaki.org MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] CHR HomePage: Default -> hxxp://home.sweetim.com/?crg=3.1010000.10011&barid={FFFE29A2-FA82-11E1-AB85-001FD0928058} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda.net Launcher\Bethesda.net Launcher.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Core Design\Tomb Raider - The Last Revelation\Lara Merchandise.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Core Design\Tomb Raider - The Last Revelation\Eidos Net\Install Eidos Net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\Users\bartek\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\bartek\AppData\Local\Microsoft\Windows\GameExplorer\{AF00D60D-02F5-4A22-93D2-AE7B677ABEA9} C:\Users\bartek\AppData\Local\Microsoft\Windows\GameExplorer\{6FA4E3F0-3F61-4A4A-A8D1-D8F35F3CAB31} CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Brak poprawy, bo skrypt FRST w ogóle nie wykonany. Otwórz plik Fixlog - żadna z linii nie przetworzona. Czy Fix został ręcznie przerwany, a może FRST "przestał działać"? Wytnij ze skryptu komendę CreateRestorePoint:, następnie powtórz punkt 2 z poziomu Trybu awaryjnego Windows, po tym przejdź w Tryb normalny i dostarcz świeże logi.

Po tytułowym programie widać tylko jeden odpadkowy katalog C:\ProgramData\AMMYY i to nie ma znaczenia. Ale w systemie są inne grubsze problemy, czyli infekcje adware (Lightzap, PriceFountain i problemy w obu przeglądarkach). Do usunięcia będą też różne puste wpisy. Operacje do przeprowadzenia: 1. Problemy w przeglądarkach: - Jest tu zdefektowane przez adware Google Chrome (zmodyfikowane biblioteki DLL). Wymagana reinstalacja od zera. Odinstaluj całkowicie przeglądarkę. Przy deinstalacji zaznacz Usuń także dane przeglądarki. - W Firefox odinstaluj rozszerzenia Abduction! i Youtube Downloader - 4K Download, wbudowane adware: KLIK, KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Lightzap\Canranplus.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Lightzap\FreshSolosing.dll => C:\ProgramData\Lightzap\FreshSolosing.dll [257536 2016-02-14] () Task: {002D098A-BCAF-4289-84B3-8050DCB7541A} - System32\Tasks\{285C313D-328A-41FB-9361-304B2A15B5A4} => pcalua.exe -a C:\Users\piotr\AppData\Roaming\uTorrent\uTorrent.exe -c /UNINSTALL Task: {26F8BE0E-9C46-4CEA-ABD7-8B672E613E40} - System32\Tasks\psv_DonTraxfresh => /c regedit.exe /s "C:\ProgramData\Lightzap\ZaamIng.reg" & del "C:\ProgramData\Lightzap\ZaamIng.reg" & SCHTASKS /Delete /TN "psv_DonTraxfresh" /F Task: {3B165D12-2431-4064-83CE-F4E78FBE6596} - System32\Tasks\psv_Keyzimex => /c regedit.exe /s "C:\ProgramData\Lightzap\Trustlight.reg" & del "C:\ProgramData\Lightzap\Trustlight.reg" & SCHTASKS /Delete /TN "psv_Keyzimex" /F Task: {3B7133F7-7211-415F-8E10-57D4CA7C4B6C} - System32\Tasks\psv_Tamptough => /c regedit.exe /s "C:\ProgramData\Lightzap\HotRon.reg" & del "C:\ProgramData\Lightzap\HotRon.reg" & SCHTASKS /Delete /TN "psv_Tamptough" /F Task: {589E0B95-1E7C-4931-9485-7C0017408114} - System32\Tasks\piotrMuggeredIntroducerV2 => Rundll32.exe CurrycombShitted.dll,main 7 1 Task: {5A63ED82-8231-45E8-AF59-550914F2AB91} - System32\Tasks\{4A1F0962-D810-4AA2-A6C5-D337975D404E} => pcalua.exe -a C:\Users\piotr\Desktop\PhotoshopPortable.exe -d C:\Users\piotr\Desktop Task: {5BE9E27F-32A6-4FE8-B11F-801A24F9041E} - System32\Tasks\{A204B87F-3957-4DB8-AF84-F4ACEAFAD3EF} => pcalua.exe -a F:\PhotoshopPortable.exe -d F:\ Task: {75EDCA7A-8EA9-4EBA-9BA3-47C28396F86F} - System32\Tasks\psv_GrooveDox => /c regedit.exe /s "C:\ProgramData\Lightzap\LexiLotdom.reg" & del "C:\ProgramData\Lightzap\LexiLotdom.reg" & SCHTASKS /Delete /TN "psv_GrooveDox" /F Task: {7DC71B45-FA0A-4683-B362-A9F52D82A95E} - System32\Tasks\{1DC029F8-443C-406A-8220-4A99BF14DA4D} => pcalua.exe -a C:\Users\piotr\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {81E8817A-F423-456D-B159-F8C6BD073B77} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: {AF685482-7468-4E8D-84FE-CA50270BC826} - System32\Tasks\{380B4E25-1B68-1CA5-C522-172CD713D6CC} => C:\Users\piotr\AppData\Roaming\PriceFountainUpdateVer\Updater.exe [2013-04-20] () Task: {C0F10817-6021-40D2-AB08-D377E395BFCD} - System32\Tasks\piotrTraumatologiesSalivaryV2 => Rundll32.exe NeutralizationsProcedurals.dll,main 7 1 Task: {C8E3BC61-C001-48D2-9116-2CE98AFBA737} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {D9C779BB-EC8F-45C4-BB27-474FCD07F145} - System32\Tasks\Driver Booster SkipUAC (piotr) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {DEF3926A-8806-47E4-BCE1-B109B4E409CA} - System32\Tasks\psv_Coftech => /c regedit.exe /s "C:\ProgramData\Lightzap\Tempin.reg" & del "C:\ProgramData\Lightzap\Tempin.reg" & SCHTASKS /Delete /TN "psv_Coftech" /F Task: {F74D8A2B-3F63-4ACB-AE3C-CA6173F345CB} - System32\Tasks\{5DBABE6C-0B5A-4775-B6A3-5E360D8B45EC} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\setup.exe" -c -runfromtemp -removeonly Task: {FBF1FFAE-464D-4AFB-B482-8832A0ECD59F} - System32\Tasks\{A4E11ADD-5F8A-4B7F-B362-87570EBFD544} => pcalua.exe -a "E:\Total Media\Setup.exe" -d "E:\Total Media" Task: {FDFA9572-8EB2-4A2B-9EEE-EC9B56284377} - System32\Tasks\piotrOreDrainedV2 => Rundll32.exe LecturedCompels.dll,main 7 1 Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\{380B4E25-1B68-1CA5-C522-172CD713D6CC}.job => C:\Users\piotr\AppData\Roaming\PRICEF~1\Updater.exe S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit) S2 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\...\Run: [AdobeAAMUpdater-1.0] => "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" HKU\S-1-5-21-4203839743-1770721236-564859656-1000\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_23_0_0_162_pepper.exe -update pepperplugin FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] FF Plugin-x32: @messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6 -> C:\Program Files (x86)\Yahoo!\Shared\npYState.dll [2012-05-25] (Yahoo! Inc.) FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [brak pliku] FF user.js: detected! => C:\Users\piotr\AppData\Roaming\Mozilla\Firefox\Profiles\50s4jlvj.default\user.js [2015-12-16] FF NewTab: Mozilla\Firefox\Profiles\50s4jlvj.default -> FF DefaultSearchUrl: Mozilla\Firefox\Profiles\50s4jlvj.default -> hxxp://search.yahoo.com/search?fr=mkg030&p= FF SelectedSearchEngine: Mozilla\Firefox\Profiles\50s4jlvj.default -> Yahoo FF Keyword.URL: Mozilla\Firefox\Profiles\50s4jlvj.default -> hxxp://search.yahoo.com/search?fr=mkg030&p= HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-4203839743-1770721236-564859656-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4203839743-1770721236-564859656-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4203839743-1770721236-564859656-1000 -> {DECA3892-BA8F-44b8-A993-A466AD694AE4} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=mkg028 SearchScopes: HKU\S-1-5-21-4203839743-1770721236-564859656-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: Brak nazwy -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] AlternateDataStreams: C:\ProgramData\Dane aplikacji:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] C:\Program Files (x86)\IObit C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\AMMYY C:\ProgramData\fenoccnhiaidjfmjmfodlmdfolakgdgb C:\ProgramData\Lightzap C:\ProgramData\ProductData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Application Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD X Player 5.5 Professional C:\Users\piotr\AppData\Local\housecall.guid.cache C:\Users\piotr\AppData\Local\Temp-log.txt C:\Users\piotr\AppData\Local\MuggeredIntroducer C:\Users\piotr\AppData\Local\Opera Software C:\Users\piotr\AppData\Local\OreDrained C:\Users\piotr\AppData\Roaming\*.* C:\Users\piotr\AppData\Roaming\Opera Software C:\Users\piotr\AppData\Roaming\PriceFountainUpdateVer C:\Users\piotr\AppData\Roaming\ProductData C:\Users\piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\piotr\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence C:\Users\piotr\AppData\Roaming\Mozilla\Firefox\Profiles\50s4jlvj.default\searchplugins C:\Users\Public\Desktop\Adobe Application Manager.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. Teraz jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Można w miarę możliwości wspomóc mój serwis przez dotacje. Link w mojej sygnaturze.

Problemem są zmodyfikowane serwery DNS Windows, poniższy adres jest rosyjski. Ale w systemie są też inne odpadki adware, w tym fałszywy profil adware podstawiony w Chrome. Tcpip\..\Interfaces\{B9A4709D-CAD1-4D70-A8D2-701D8F79555C}: [NameServer] 188.120.239.115,8.8.8.8 Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{B9A4709D-CAD1-4D70-A8D2-701D8F79555C}: [NameServer] 188.120.239.115,8.8.8.8 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-9055292-1167892610-523672942-1005\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-9055292-1167892610-523672942-1005 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO: Search App by Ask -> {41444150-2D43-322D-4700-7A786E7484D7} -> "C:\Program Files\AskPartnerNetwork\Toolbar\ADAP-C2-G\Passport.dll" => Brak pliku Toolbar: HKLM - Search App by Ask - {41444150-2D43-322D-4700-7A786E7484D7} - "C:\Program Files\AskPartnerNetwork\Toolbar\ADAP-C2-G\Passport.dll" Brak pliku HKLM\...\Run: [app] => C:\Program Files\sbqh\uc.exe HKU\S-1-5-21-9055292-1167892610-523672942-1005\...\Run: [svchost0] => C:\Program Files\sbqh\uc.exe HKU\S-1-5-21-9055292-1167892610-523672942-1005\...\Run: [YVZBPWPC77] => "C:\Program Files\DPower\YI85EFO924.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku U0 aswVmm; Brak ImagePath Task: {276D1BBC-EE53-48D6-A993-0B850CACF29A} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Adrian_) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: {3352BBEA-3BE7-454E-ABCD-F8F8229B0EA5} - System32\Tasks\psv_JobTom => /c regedit.exe /s "C:\ProgramData\Quoteex\Superplus.reg" & del "C:\ProgramData\Quoteex\Superplus.reg" & SCHTASKS /Delete /TN "psv_JobTom" /F Task: {907F05C0-2188-44D6-BD66-4C67B4280855} - System32\Tasks\{5048F14A-E7AE-4543-A652-3B5200E80BB0} => pcalua.exe -a "C:\Program Files\EA GAMES\Need for Speed Underground 2\speed2.exe" -d "C:\Program Files\EA GAMES\Need for Speed Underground 2" Task: {957B0DFA-A14E-4C16-B17B-4740E2432128} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-10-18] (AVAST Software) Task: {A66513DC-5CF9-4ED7-8F39-C9ED2F4F813A} - System32\Tasks\psv_Quadflex => /c regedit.exe /s "C:\ProgramData\Quoteex\Zimdubron.reg" & del "C:\ProgramData\Quoteex\Zimdubron.reg" & SCHTASKS /Delete /TN "psv_Quadflex" /F Task: {D19458E6-E2D7-4C59-AB88-113E74138132} - System32\Tasks\Jizergh Launcher => C:\Program Files\Ferqesp\qegph.exe Task: {D4133C22-34C7-487B-871C-100A66112F8B} - System32\Tasks\{86A2A04B-91BD-426B-8845-78DD2BCD2646} => pcalua.exe -a "C:\Program Files\Common Files\Strongcof\uninstall.exe" -c shuz -f "C:\Program Files\Common Files\Strongcof\uninstall.dat" -a uninstallme AFF3C7A7-3361-477E-A838-2B7FE6745842 DeviceId=f7a6bf77-5f56-946d-f24a-4cf0c4d45424 BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet Task: {F8B32AA2-8B86-4155-8CE6-24C9DA1C4D23} - System32\Tasks\psv_Stimlux => /c regedit.exe /s "C:\ProgramData\Quoteex\Golden-Lam.reg" & del "C:\ProgramData\Quoteex\Golden-Lam.reg" & SCHTASKS /Delete /TN "psv_Stimlux" /F Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - Adrian_).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files\UCBrowser\Application\update_task.exe ShortcutWithArgument: C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DisableService: Mobile Partner. RunOuc C:\Program Files\Ferqesp C:\Program Files\McAfee C:\Program Files\Mozilla Firefox C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files\Common Files\McAfee C:\ProgramData\AVAST Software C:\ProgramData\McAfee C:\ProgramData\mntemp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Otwórz plik Readme gry Twierdza Krzyżowiec.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Otwórz podręcznik gry Twierdza Krzyżowiec (PDF).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Twierdza Krzyżowiec Extreme HD .lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Twierdza Krzyżowiec HD .lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Zainstaluj program GameSpy Arcade (Vista SP1).lnk C:\TOSTACK C:\Users\Administrator C:\Users\Adrian\AppData\Local\UCBrowser C:\Users\Adrian\AppData\Local\Ulighthazertion C:\Users\Adrian\AppData\Roaming\*.* C:\Users\Adrian\AppData\Roaming\Clumick C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\Nero TuneItUp.lnk C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\Optymalizacja 1 kliknięciem.lnk C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\True Key.lnk C:\Users\Adrian\Desktop\Muzyka\Wszystko razem\ACDC*skrót.lnk C:\Users\Adrian_ C:\Users\Public\Thunder Network C:\Windows\system32\Drivers\etc\Hosts.old C:\Windows\System32\Tasks\AVAST Software CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Konieczna wymiana całego profilu Google Chrome. Ustawienia > karta Ustawienia > Osoby > na liście powinien być widoczny profil o nazwie user0 i ten należy usunąć, a po tym zamknąć Chrome. Uruchom ponownie przeglądarkę i sprawdź czy po usunięciu profilu pojawił się nowy. Jeśli nie, trzeba go stworzyć ręcznie opcją Dodaj osobę. 3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń martwy wpis adware Search App by Ask. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

W systemie jest infekcja, ten proces svchost1.exe to trojan uruchamiany z katalogu Temp. Odpala go wpis startowy MicrosoftRunnerService. Przypuszczalnie infekcja nabyta z jednym z cracków / botów do Tibia. Operacje do wdrożenia: 1. W związku z tym, że trudno ustalić który dodatek do Tibia ma zaszytego trojana, usuń wszystko co ostatnio pobrałeś do Tibia. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3268985237-2515974460-3636826075-1001\...\Run: [MicrosoftRunnerService] => C:\Users\FruGo\AppData\Local\Temp\servicecheck.exe [12735488 2016-10-17] () <===== ATTENTION C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Walking Dead Michonne Episode 1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnkhHeart\AnkhBotR2\UELA.lnk C:\Users\FruGo\AppData\Roaming\3909 C:\Users\FruGo\Desktop\The Walking Dead Michonne Episode 1.lnk DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Poboczna sprawa to strony startowe adware w Google Chrome. Pod tym kątem: Zresetuj synchronizację (o ile włączona): KLIK. To konieczne, by złe wpisy nie wracały w kółko z serwera Google. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres awesomehp.com 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

By uzyskać wierną listę wszystkich brakujących łat, należy uruchomić Windows Update, a nie szukać ich ręcznie, bo jest tego zastraszająca ilość (kilka lat aktualizacji do nadrobienia). Jako że jest tu kompletnie nieaktualizowany system, jest pewne uproszczenie dostępne, tzn. po instalacji SP1 i IE11 możesz załadować zbiorczy pakiet zawierający większość łat wydanych między SP1 a kwietniem 2016. Czyli montujesz po kolei: KB3020369 + KB3125574. To jednak niestety nie wszystko (np. aktualizacje IE nie są uwzględnione), i tak wymagane będzie uruchomienie po tym Windows Update. EDIT: Microsoft Catalog działa teraz już we wszystkich głównych przeglądarkach, tylko URL jest inny. Podstawiłam go powyżej. Dodałam też łatę wymaganą, by ten zbiorczy pakiet dało się nałożyć.

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST oraz wszystkie logi FRST z folderu Pobrane. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. System wymaga gruntownej aktualizacji. Stan obecny: Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome) Brak SP1, IE11 i ogromnej ilości innych łat wydanych między SP1 a dniem dzisiejszym.

Wszystko wygląda dobrze. Jeszcze ostatnia poprawka na szczątki widoczne w nowym FRST.txt. Otwórz Notatnik i wklejw nim: BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448217005&z=b25c7c69d0c483d491944a6g7z4zebbofg3q6q7q3q&from=cor&uid=SAMSUNGXSP2514N_S08BJ1LP300284 StartBatch: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f del /q C:\Users\rmk\Desktop\GMER.txt del /q C:\Users\rmk\Downloads\i7ib141w.exe del /q C:\Users\rmk\Downloads\adwcleaner*.exe EndBatch: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4 RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 2.4 RemoveDirectory: C:\Users\rmk\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. Nowe skany FRST zbędne.

Fix pomyślnie wykonany, ale dostarczyłeś podwójny Fixlog.txt (jeden usuwam), za to brakuje nowego skanu FRST.txt. Poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Guntony DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\55e7cc3e_0 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Reg: reg delete "HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Guntony\Guntony\chrome.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Powstanie kolejny fixlog.txt. 2. Po w/w akcji możesz już ustawić Google Chrome jako domyślną przeglądarkę. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. - Jeśli chodzi o problem z wolnym startem, to przypuszczalna przyczyna to nadmiar programów zabezpieczających, równocześnie ładują się: Avast, pakiet McAfee i mierny soft IObit Malware Fighter 4. Poza tym, w systemie są zainstalowane wątpliwej reputacji "boostery" i "updatery". - Jeśli chodzi o to okno które szybko znika, to przypuszczalnie jest produkowane przez poniższy wpis należący do DriverSetupUtility, a wprowadzony przez wątpliwy program SlimDrivers. Podobny temat na forum: KLIK. Task: {13CCA6C5-DEC9-4DB6-86D0-D873883B4766} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat [2015-06-22] () Rozpocznij od deinstalacji nadmiaru. 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Driver Booster 3.5, DriverSetupUtility, IObit Malware Fighter 4, McAfee LiveSafe, McAfee WebAdvisor, SlimCleaner Plus, SlimDrivers, Superb Game Boost 3.0, WebStorage, WildTangent Games App. Te dwa ostatnie to zbędne oprogramowanie integrowane na Asusach i można go spokojnie usunąć, jeśli z niego nie korzystasz. 2. Przejdź w Tryb awaryjny * i zastosuj McAfee Consumer Product Removal Tool. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 3. Opuść Tryb awaryjny i zrób nowe raporty FRST. Podaj czy po deinstalacjach są widoczne zmiany.

Tak jest, fałszywy klon Chrome - u Ciebie pod nazwą Guntony. Operacje do wdrożenia: 1. Odinstaluj stare niebezpieczne wersje z lukami (zagrożenie m.in. infekcjami szyfrującymi dane): Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Shockwave Player 11.6, Java 7 Update 9, Java(TM) 6 Update 29, Mozilla Firefox 4.0.1 (x86 pl), OpenOffice.org 2.4, QuickTime. Przy deinstalacji archaicznego Firefoxa zatwierdź usuwanie profilu z dysku, a resztę doczyści skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000 -> {644638E9-444B-4B17-8513-404DA05AC99D} URL = Task: {3637AC12-5F59-43B1-84B0-260D8F44510B} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {5F873854-AD3A-4CD8-8983-18FE1E18B6DF} - System32\Tasks\{E5FA13B1-BAF6-4EC1-A0EC-0DF74AF1D912} => pcalua.exe -a D:\Azuon\bin\Azuon.exe -d D:\Azuon\bin\ Task: {69BD1CE5-5F2C-41A5-B639-F793A0166481} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files (x86)\e-file\e-pity2012\signxml.exe Task: {69C8C4DF-6092-4AAC-92CB-550193AC2B4A} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {91D4C876-F967-4652-B1E4-5B14F5C0CCB5} - System32\Tasks\e-pity2012_styczen => C:\Program Files (x86)\e-file\e-pity2012\signxml.exe Task: {BA949E13-8740-4216-82BD-5309A4125287} - System32\Tasks\{945CCC1A-9EAE-47AE-A370-5A56F71971A8} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.22.64.106&LastError=404 HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\...\Run: [AdobeBridge] => [X] S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X] MSCONFIG\startupfolder: C:^Users^rmk^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Rejestracja FIFA 11.lnk => C:\Windows\pss\Rejestracja FIFA 11.lnk.Startup MSCONFIG\startupreg: AdobeBridge => "C:\Program Files (x86)\Adobe\Adobe Bridge CS5\Bridge.exe" -stealth MSCONFIG\startupreg: DAEMON Tools Lite => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Guntony C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\imgdoc2.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FM Genie Scout 14 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PIT Format 2012 C:\ProgramData\Mozilla C:\Users\rmk\Desktop\Google Chrome.lnk C:\Users\rmk\AppData\Local\Guntony C:\Users\rmk\AppData\Local\Mozilla C:\Users\rmk\AppData\Local\Microsoft\Windows\GameExplorer\{A3B0A0BD-02FE-48E9-8F12-5F9CE6BA4111} C:\Users\rmk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\rmk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\rmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\rmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\rmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker C:\Users\rmk\AppData\Roaming\Mozilla CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom Google Chrome i wyczyść: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice oraz niepożądane LiveVDO plugin, vshare plugin. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Ustaw jako domyślną przeglądarkę Internet Explorer. Nie można na razie ustawić prawdziwego Chrome, dopóki nie zostanie wyczyszczony rejestr ze skojarzeń klona. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Guntony