picasso

Kończymy: 1. Nadal w Google Chrome jest wpis adware. - Zresetuj synchronizację (o ile włączona), by zapobiec odtwarzaniu złych ustawień z serwera: KLIK. - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres home.sweetim.com. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu foldery FRST + GMER. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

vs. Żadnych oznak infekcji tego rodzaju tu nie było. Skan Cybertarczy opiera się na ocenie IP, a nie skanie systemu. Orange przydziela zmienne adresy IP. Jest tu prawdopodobne, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer.

Widzę że Fix był uruchamiany aż trzy razy. Ten opisywany przestój musiał się wydarzyć na przetwarzaniu linii C:\Users\Adrian_ (niepoprawny folder konta prawdopodobnie utworzony przez adware), gdyż do tej linii wszystko jest "nie znaleziono" (Fix nie przetworzy ponownie tego samego). Kończymy: 1. Nowy profil Google Chrome pomyślnie założony. Jeśli brakuje Ci zakładek, możesz je ewentualnie odzyskać z folderu martwego już pierwotnego profilu Chrome. Zamknij Google Chrome. Przekopiuj plik Bookmarks z folderu: C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default do: C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Profile 2 Uruchom Google Chrome i sprawdź czy zakładki są na miejscu. 2. Następnie przez SHIFT+DEL (omija Kosz) skasuj poniższe foldery z dysku, pierwszy to odpadek fałszywego profilu, a drugi to martwy obiekt: C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default Usuń także C:\uxldrpog.sys od GMER, folder C:\MATS oraz FRST i jego logi z "Nowego folderu" + folder "Frst" na Pulpicie. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj stare wersje (luki prowadzące do infekcji, w tym szyfrujących dane): Adobe Reader 9.3 - Polish, Java 8 Update 71, Java 8 Update 101. Pobieranie najnowszych wersji także w w/w linku.

Wszystko zrobione, ale jeszcze drobne poprawki, bo przetwarzałeś skrypt w momencie gdy go jeszcze korygowałam dodając pewne wpisy (myślałam, że zdążyłam to zrobić przed Twoim przeczytaniem tematu) + usuwanie używanych narzędzi. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "BingSvc" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "svchost0" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\Users\myy\Doctor Web RemoveDirectory: C:\Users\myy\AppData\Roaming\DAEMON Tools Lite RemoveDirectory: C:\Users\myy\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\myy\Desktop\mbar StartBatch: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk" del /q C:\Users\myy\Desktop\RepairDNS.txt del /q C:\Users\myy\Downloads\BootkitRemoval_x64.exe del /q C:\Users\myy\Downloads\bqfvl8xg.exe del /q C:\Users\myy\Downloads\gmer*.txt del /q C:\Users\myy\Downloads\mbam-setup-2.2.1.1043.exe del /q C:\Users\myy\Downloads\mbar-1.09.3.1001.exe del /q C:\Users\myy\Downloads\MicrosoftProgram_Install_and_Uninstall.meta.diagcab del /q C:\Users\myy\Downloads\RepairDNS*.exe del /q C:\Users\myy\Downloads\SPTDinst-v189-x64.exe del /q C:\Users\myy\Downloads\xly9plor.exe del /q C:\WINDOWS\Minidump\*.dmp EndBatch: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Fałszywy Firefox jest prawdopodobnie regenerowany przy udziale zadania "ChelfNotify Task" w Harmonogramie. Fałszywka podstawiła wszystkie skróty Firefox, ustawiła się jako domyślna przeglądarka oraz pracuje na własnym spreparowanym profilu. Ponadto, profil fałszywki został zreplikowany w poprawnej ścieżce prawdziwego Firefoxa i jest tu wymagane nie tylko usunięcie fałszywego FF, ale i przetasowanie profilów prawdziwego. Operacje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware amuleC, UvConverter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} HKU\S-1-5-21-488659936-1714191775-3546540212-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 HKU\S-1-5-21-488659936-1714191775-3546540212-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKU\S-1-5-21-488659936-1714191775-3546540212-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} SearchScopes: HKU\S-1-5-21-488659936-1714191775-3546540212-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799 Tcpip\..\Interfaces\{69D3E49B-883F-443E-BA62-F558F484AEF6}: [DhcpNameServer] 45.63.123.163 8.8.4.4 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BootExecute: autocheck autochk * aswBoot.exe /M:aae4a41333 /wow /dir:"C:\Program Files\AVAST Software\Avast" MSCONFIG\Services: CommandHandler => 2 MSCONFIG\Services: ed2kidle => 2 MSCONFIG\Services: FirefoxU => 2 MSCONFIG\Services: McComponentHostService => 3 MSCONFIG\Services: MyWiFiDHCPDNS => 3 MSCONFIG\Services: UvConverter => 2 MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup U0 aswVmm; Brak ImagePath Task: {36B8F827-CF6A-42BF-8287-D3422BBA0988} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-09-29] (AVAST Software) Task: {840E3568-D6A9-4A0E-A381-2E4D4C14C554} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\ByteFence C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files\OpenTTD.rar C:\Program Files (x86)\5808DFDD_jumpeasy C:\Program Files (x86)\amuleC C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Firefox C:\Program Files (x86)\UvConverter C:\Program Files (x86)\uvconvrx_00000000 C:\ProgramData\AVAST Software C:\ProgramData\BaofengUpdate_U C:\ProgramData\ChelfNotify C:\ProgramData\chuvc C:\ProgramData\corss C:\ProgramData\hadga C:\ProgramData\UvConverter C:\ProgramData\WCMShare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Lenovo\AppData\Local\Firefox C:\Users\Lenovo\AppData\Roaming\aMule C:\Users\Lenovo\AppData\Roaming\Bongo C:\Users\Lenovo\AppData\Roaming\Firefox C:\Users\Lenovo\AppData\Roaming\TuneUp Software C:\Users\Lenovo\AppData\Roaming\WCMShare C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC C:\Users\Lenovo\Desktop\Mozilla Firefox.lnk C:\Users\Lenovo\Desktop\Old Firefox Data C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Users\Lenovo\Downloads\BongOTS.exe C:\Windows\system32\log C:\Windows\System32\Tasks\AVAST Software C:\Windows\SysWOW64\xaa C:\Windows\SysWOW64\xaabbbbbbb CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Fałszywy Firefox i jego skróty zostały usunięte w/w procedurą, ręcznie odtwórz skróty do prawdziwego Firefoxa. Uruchom go, ustaw jako domyślną przeglądarkę i wyeksportuj zakładki, o ile jest co eksportować... Następnie zamknij Firefox i wywołaj menedżer profilów poprzez klawisz z flagą Windows + R i wklejenie poniższej komendy w polu Uruchom i OK. W menedżerze usuń wszystkie widoczne profile i załóż nowy, zaloguj się na niego. "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Jeden temat nowszy niż Twój został przetworzony (bo w nim była aktywna infekcja i trzeba było działać szybko, by zapobiec załadowaniu większej ilości śmieci), inne były starsze. Ja mam zaległości z całego tygodnia i nie wyrabiam. Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. Logi z FRST zrobiłeś w niepoprawnym środowisku. Zgłoszenie zablokowanej usługi BFE i wielu usług w stanie nierozpoznanym "U" oraz "uszkodzenia WMI" i "niepowodzenie przy listowaniu..." w logu FRST to typowy objaw uruchomienia FRST w piaskownicy COMODO. Musiałeś widzieć zieloną obwódkę naokoło okna FRST. FRST uruchomiony z poziomu piaskownicy COMODO nie działa poprawnie, nie ma dostępu do skanowanych obszarów, a żadnych zmian za jego pomocą nie można prowadzić (są wirtualne i zostaną odkręcone przez COMODO). To uwagi na przyszłość, nowe logi FRST nie są mi tu potrzebne, by ocenić sytuację. Przy okazji, wszystkie logi FRST są w złym kodowaniu ANSI a nie poprawnym UTF-8 - czyżbyś je zapisywał ręcznie do nowych plików? Co to konkretnie oznacza i jakie aplikacje masz na myśli? Czy nie chodzi tu aby o błędy typu "Odmowa dostępu"? W takiej sytuacji oczywiście pierwszy podejrzany to COMODO. ADKOSD2.exe to proces od instalacji "ATK Package" niezbędnej do obsługi touchpada oraz klawiszy funkcyjnych laptopa i tu raczej nic się nie da zdziałać. HKLM-x32\...\Run: [ATKOSD2] => C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [406328 2013-11-20] (ASUSTek Computer Inc.) svchost hostuje dużo usług i należy zdefiniować o które wystąpienie chodzi. Prawoklik na ten konkretny svchost > Przejdź do usług > wypisz podświetlone. Jeśli w zestawie będzie Windows Update, upewnij się że masz zainstalowane te dwie łaty (pierwsza wymagana dla tej drugiej): KB3020369 + KB3172605. Błąd ACMON produkuje zadanie w Harmonogramie od instalacji "ASUS Splendid Video Enhancement Technology": Task: {88F5CD44-9B35-4159-A19A-01EB20EE1FEA} - System32\Tasks\ACMON => C:\Program Files (x86)\ASUS\Splendid\ACMON.exe [2016-10-18] (ASUS) Możliwe postępowanie do wyboru: - Tylko wyłączyć zadanie w Harmonogramie za pomocą przystawki taskschd.msc. - Kompletnie odinstalować tę aplikację, to jest Asusowe "polepszanie jakości ekranu" i nie jest niezbędne. Status i wymuszanie powinny być dostępne z poziomu panelu sterowania Nvidia. Sprawdź czy masz opcję podobną do tej która pokazuje które GPU jest w użyciu: KLIK.

Problemem nie jest infekcja, temat przenoszę do działu Hardware na diagnostykę dysku: "4 KB w uszkodzonych sektorach" może być przyczyną zawieszeń oraz błędów w Dzienniku zdarzeń sugerujących uszkodzenie określonych obiektów: Dostarcz materiały pod kątem sprzętowym: KLIK. Gdy się okaże, że jest tu sens inwestować w dalsze czyszczenie: Ten problem rozwiązuje instalacja KB3172605. By móc tę łatę zaaplikować, należy się upewnić czy w systemie jest aktualizacja KB3020369. W przypadku gdy próba instalacji głównej łaty uruchamia ponownie długie wyszukiwanie Windows Update, należy ubić tymczasowo proces Windows Update i przełączyć typ startowy usługi, i po tym ponowić instalację z dysku. Następnie po instalacji uruchomić Windows Update i załadować wszystkie istotne aktualizacje. Może być ich sporo, co sugeruje stara niewspierana już wersja IE10 figurująca w nagłówku raportu FRST. Są tu owszem ślady adware, w tym przekonwertowana przez adware przeglądarka Google Chrome (z wersji stabilnej na deweloperską bez ograniczeń). Niemniej to są rzeczy skali mikro (głównie w formie odpadkowej) i nie mogą powodować opisywanych objawów. W spoilerze doczyszczanie szczątków adware, odinstalowanych aplikacji, artefaktów wstawionych przez ComboFix, uszkodzonego sterownika SPTD (od odinstalowanego DAEMON Tools Lite) oraz innych pustych wpisów:

Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

W wynikach wyszukiwania rejestru nie ma nic powiązanego z tor. Natomiast na dysku powstał niepożądany plik od zadania w Harmonogramie. Poproszę o nowe raporty z FRST (FRST.txt i Addition.txt).

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Temat wydzielony w osobny. Dostacz wymagane logi: KLIK.

Nie, absolutnie nic złego nie zrobiłeś. Ja po prostu mówię, że instrukcje które muszę tu przygotować wymagają więcej czasu, a ja go nadal nie mam (po nieobecności muszę się zająć tematami w których w ogóle nie udzieliłam odpowiedzi).

Problem ze skrótami powoduje infekcja zaszyta we WMI systemowym, skrypt tam osadzony w predefiniowanych odstępach czasu reinfekuje wszystkie skróty przeglądarek. Ale to nie jedyne problemy z adware - są tu też aktywne obiekty malware w Print Providers, samoistne autoryzacje malware w programach antywirusowych i różne inne śmieci. Operacje do wdrożenia: 1. Deinstalacje: - Klawisz z flagą Windows + X >Programy i funkcje > odinstaluj potwornie stary Adobe Reader 6.0 CE. To niebezpieczna wersja, dziurawa jak sito, silne zagrożenie infekcjami (w tym szyfrującymi dane). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń dwa ukryte i zbędne śledzące programy Lenovo: Metric Collection SDK + Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\myy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\myy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\myy\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\myy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\myy\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\myy\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ HKLM\...\Providers\6s0rrtre: C:\drivers\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\7cex2nn0: C:\Gry\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\8cisg264: C:\Fifa\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\9f3te1cv: C:\Users_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\9pfsretp: C:\Program Files (x86)\\local64spl.dll HKLM\...\Providers\hnq3zruc: C:\\local64spl.dll HKLM\...\Providers\hofdfux9: C:\drivers_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\j2kuhb1x: C:\Program Files (x86)_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\mwyc24vk: C:\_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\o4v17d23: C:\Downloads\\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\qiybsgh4: C:\Downloads_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\qjevioom: C:\Gry_\local64spl.dll [143360 2016-10-19] () HKLM\...\Providers\sm8iznf8: C:\Users\\local64spl.dll HKLM\...\Providers\xul8d7gf: C:\Fifa_\local64spl.dll [143360 2016-10-19] () HKU\S-1-5-18\...\Run: [] => 0 HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "BingSvc" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\...\StartupApproved\Run: => "svchost0" NETSVCx32: HpSvc -> Brak ścieżki do pliku. S0 mfeelamk; C:\WINDOWS\System32\drivers\mfeelamk.sys [82072 2015-08-10] (McAfee, Inc.) TasksDetails: Task: {03F68544-AA8E-45C8-AA0F-C92BA9123BE5} - System32\Tasks\psv_Fax-Bam => /c regedit.exe /s "C:\ProgramData\Quoteex\Alphaex.reg" & del "C:\ProgramData\Quoteex\Alphaex.reg" & SCHTASKS /Delete /TN "psv_Fax-Bam" /F Task: {0524F820-0A67-468A-AEBA-D0E1FD8242F9} - System32\Tasks\psv_IceTech => /c regedit.exe /s "C:\ProgramData\Quoteex\Geocom.reg" & del "C:\ProgramData\Quoteex\Geocom.reg" & SCHTASKS /Delete /TN "psv_IceTech" /F Task: {1C73827B-871E-4E83-95C3-01952B7E73FB} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {1FF7AD7D-329A-48AE-9688-9E646A9BF294} - System32\Tasks\psv_GreenDom => /c regedit.exe /s "C:\ProgramData\Quoteex\Soncof.reg" & del "C:\ProgramData\Quoteex\Soncof.reg" & SCHTASKS /Delete /TN "psv_GreenDom" /F Task: {42AB9ED0-ED66-4C75-B9F4-472D57E22F02} - System32\Tasks\psv_Movehome => /c regedit.exe /s "C:\ProgramData\Quoteex\Hometom.reg" & del "C:\ProgramData\Quoteex\Hometom.reg" & SCHTASKS /Delete /TN "psv_Movehome" /F Task: {560A7581-DF99-4679-8E13-466E1266DCB4} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {5CFA38CE-0B6C-4321-A11A-04FC1CC17661} - System32\Tasks\psv_Softtip => /c regedit.exe /s "C:\ProgramData\Quoteex\PhysZuming.reg" & del "C:\ProgramData\Quoteex\PhysZuming.reg" & SCHTASKS /Delete /TN "psv_Softtip" /F Task: {651CB129-AD5D-4180-BF30-07E56A0835C7} - System32\Tasks\{2A362A6F-E012-4DA8-9D3D-8A8EB6FE6CE3} => pcalua.exe -a E:\dx9\dxsetup.exe -d E:\dx9 Task: {67C00B66-FB41-453A-8A65-932C09A08F77} - System32\Tasks\psv_Superlax => /c regedit.exe /s "C:\ProgramData\Quoteex\Hat-Dox.reg" & del "C:\ProgramData\Quoteex\Hat-Dox.reg" & SCHTASKS /Delete /TN "psv_Superlax" /F Task: {68F04126-57D8-495F-AD1D-332AA7372046} - System32\Tasks\Plavey Agent => C:\Program Files (x86)\Preniy\arakut.exe [2016-10-14] (Glarysoft Ltd) Task: {859C57B7-D9A9-4ADC-86AA-4620DAE93ACE} - System32\Tasks\93aa3668456c544e837b18bf555c602f => Rundll32.exe "C:\Program Files (x86)\mpck\hv6bg8.dll",e62dc6c6547f46bda862da2d05af6862 Task: {89B18B47-FB9B-490E-8798-B3692648FBBC} - System32\Tasks\psv_Qvola => /c regedit.exe /s "C:\ProgramData\Quoteex\Rannix.reg" & del "C:\ProgramData\Quoteex\Rannix.reg" & SCHTASKS /Delete /TN "psv_Qvola" /F Task: {B28A99A7-765F-4B9F-BFDF-186EF499F97A} - System32\Tasks\psv_Ranktone => /c regedit.exe /s "C:\ProgramData\Quoteex\GoldDonlight.reg" & del "C:\ProgramData\Quoteex\GoldDonlight.reg" & SCHTASKS /Delete /TN "psv_Ranktone" /F Task: {C02A7478-054F-4712-B077-A45C846836DD} - System32\Tasks\psv_Stanity => /c regedit.exe /s "C:\ProgramData\Quoteex\NewCom.reg" & del "C:\ProgramData\Quoteex\NewCom.reg" & SCHTASKS /Delete /TN "psv_Stanity" /F Task: {DA9741AD-0F09-464F-95D9-F44EB0294894} - System32\Tasks\psv_Tipfresh => /c regedit.exe /s "C:\ProgramData\Quoteex\Tranex.reg" & del "C:\ProgramData\Quoteex\Tranex.reg" & SCHTASKS /Delete /TN "psv_Tipfresh" /F Task: {E6CEEBF6-4A7B-4F46-9A9C-BCB071C80475} - System32\Tasks\psv_TrippleDublux => /c regedit.exe /s "C:\ProgramData\Quoteex\K-air.reg" & del "C:\ProgramData\Quoteex\K-air.reg" & SCHTASKS /Delete /TN "psv_TrippleDublux" /F CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx HKU\S-1-5-21-2343515901-1995961693-3041986844-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{749716AD-5C7B-4C25-BD02-92EE9F1572E1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\_ C:\Downloads_ C:\drivers_ C:\Fifa_ C:\Gry_ C:\Program Files (x86)_ C:\Program Files (x86)\local64spl.dll.ini C:\Program Files (x86)\Atabickcherjertain C:\Program Files (x86)\Preniy C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\TOSTACK C:\Users_ C:\Users\local64spl.dll.ini C:\Users\myy\AppData\Local\{2EDFA256-042A-4627-820B-F631D48896BF} C:\Users\myy\AppData\Local\{550BB3CD-3C8E-4726-AB1B-8891EEBDB36A} C:\Users\myy\AppData\Local\BTServer.log C:\Users\myy\AppData\Local\CEF C:\Users\myy\AppData\Local\Kurery C:\Users\myy\AppData\Local\Pojuwardperciied C:\Users\myy\AppData\Local\svchost C:\Users\myy\AppData\Local\Tempfolder C:\Users\myy\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\myy\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\myy\AppData\LocalLow\Company C:\Users\myy\AppData\LocalLow00729AB0 C:\Users\myy\AppData\LocalLow00D31640 C:\Users\myy\AppData\LocalLow00D57000 C:\Users\myy\AppData\LocalLow00E0C958 C:\Users\myy\AppData\LocalLow011042E0 C:\Users\myy\AppData\LocalLow0130C380 C:\Users\myy\AppData\LocalLow00000016036BCDD8 C:\Users\myy\AppData\LocalLow0000005C533ACCE8 C:\Users\myy\AppData\LocalLow0000008A5347C598 C:\Users\myy\AppData\LocalLow00000090E826A078 C:\Users\myy\AppData\LocalLow00000098487AA3B8 C:\Users\myy\AppData\LocalLow0000009F11E2A3B8 C:\Users\myy\AppData\Roaming\*.* C:\Users\myy\AppData\Roaming\Arosphernoph C:\Users\myy\AppData\Roaming\DAEMON Tools Lite C:\Users\myy\AppData\Roaming\Microleaves C:\Users\myy\AppData\Roaming\Mozilla C:\Users\myy\AppData\Roaming\WarThunder C:\Users\myy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Public\Desktop\Opera.lnk C:\Users\Public\Thunder Network C:\WINDOWS\system32\dihn C:\WINDOWS\System32\drivers\mfeelamk.sys C:\WINDOWS\SysWOW64\kz.exe C:\WINDOWS\SysWOW64\Number of results Folder: C:\Users\myy\AppData\Local\Apps\2.0 CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Są tu ślady malware manipulującego w wykluczeniach programów antywirusowych. Sztucznie dorobione do Windows Defender i nieistniejących programów AVG i Avira już zaadresowane w/w skryptem. Inna sprawa jest jednak z zainstalowanym i aktywnym Avast - nie można usunąć ani zmanipulować jego pliku exclusions.ini, gdy jest aktywny. Dlatego też musisz ręcznie w konfiguracji Avast sprawdzić listę wykluczeń i usunąć z niej wszystko. 4. Usunięte skróty Opera odtwórz ręcznie w wybranych miejscach. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Temat nie został ominięty. Nie mogłam być aktywna przez ostatni tydzień, a teraz nie jestem w stanie przygotować tych instrukcji w obliczu tematów które jeszcze w ogóle nie zostały przetworzone.

Tak jak w przypadku innych tematów, zero oznak infekcji szyfrującej dane. Diagnoza tarczy jest wynikiem oceny IP a nie rzetelnego skanu systemu. PS. Możesz wykonać drobne poboczne działania: 1. Odinstaluj zbędny "downloader" Akamai oraz stare wersje JDK: Akamai NetSession Interface, Java SE Development Kit 7 Update 79 (64-bit), Java SE Development Kit 8 Update 51 (64-bit). 2. W Firefox odinstaluj rozszerzenia: Auto Refresh (bardzo stara wersja z 2011 i nie działa poprawnie), BlockSite (to spyware marki Wips.com: KLIK), PopVideo (reklamy i problemy z prywatnością: KLIK), SkipScreen (wątpliwej reputacji i już dawno porzucone: KLIK), uBlock (to gorsza nierozwijana już wersja: KLIK). Adblock Plus też nie jest Ci potrzebny przy uBlock Origgin. 3. Usunięcie szczątkowych wpisów (w tym pustych skrótów) i czyszczenie Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Restriction HKU\S-1-5-21-2425397994-473716014-1509793327-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\02494708.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\29158755.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\02494708.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\29158755.sys => ""="Driver" S3 dtlitescsibus; C:\Windows\System32\drivers\dtlitescsibus.sys [30264 2015-11-04] (Disc Soft Ltd) S3 TesSafe; C:\Windows\system32\TesSafe.sys [1101024 2016-06-03] (TENCENT) S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] MSCONFIG\Services: Disc Soft Lite Bus Service => 3 MSCONFIG\Services: BstHdAndroidSvc => 3 MSCONFIG\Services: BstHdLogRotatorSvc => 3 MSCONFIG\Services: BstHdUpdaterSvc => 3 MSCONFIG\Services: Droid4XService => 2 MSCONFIG\Services: SbieSvc => 2 MSCONFIG\Services: Service KMSELDI => 2 MSCONFIG\Services: TeamViewer => 2 HKLM\...\StartupApproved\Run32: => "Aeria Ignite" HKLM\...\StartupApproved\Run32: => "BlueStacks Agent" HKLM\...\StartupApproved\Run32: => "EaseUS EPM tray" HKLM\...\StartupApproved\Run32: => "ISCT Tray" HKLM\...\StartupApproved\Run32: => "VX1000" HKLM\...\StartupApproved\Run32: => "EaseUS Cleanup" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\StartupFolder: => "CurseClientStartup.ccip" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\StartupFolder: => "AudioSwitch.lnk" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "FlashGet 3" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "Akamai NetSession Interface" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "SandboxieControl" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "GalaxyClient" HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "FlashPlayerUpdate" C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert Online.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Extras\AutoItX\VBScript Examples.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Desert Online C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberStep, Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dark Souls III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V\Play Grand Theft Auto V.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NARUTO SHIPPUDEN Ultimate Ninja STORM 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SQUARE ENIX\FINAL FANTASY XIV - A Realm Reborn C:\Users\Adrian\AppData\Local\FluxSoftware C:\Users\Adrian\AppData\Roaming\DAEMON Tools Lite C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\BlueStacks.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AeriaGames C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\qhrxejcq.default\searchplugins C:\Windows\system32\TesSafe.sys C:\Windows\System32\drivers\dtlitescsibus.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Tak, tu tylko zostało zastosowanie DelFix i czyszczenie folderów Przywracania systemu, które są opisane w przyklejonym. Temat rozwiązany. Zamykam.

Działania do wykonania: 1. Odinstaluj stare wersje z lukami (zagrożenie infekcjami szyfrującymi dane): Adobe Flash Player ActiveX, Java 8 Update 40 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {151EFC16-39A7-4F10-9E2C-7443113F71BD} - System32\Tasks\bartek => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v bartek /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" HKU\S-1-5-21-2363649901-2762790907-3881788747-1000\...\Run: [bartek] => explorer.exe hxxp://kb-ribaki.org MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] CHR HomePage: Default -> hxxp://home.sweetim.com/?crg=3.1010000.10011&barid={FFFE29A2-FA82-11E1-AB85-001FD0928058} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda.net Launcher\Bethesda.net Launcher.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Core Design\Tomb Raider - The Last Revelation\Lara Merchandise.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Core Design\Tomb Raider - The Last Revelation\Eidos Net\Install Eidos Net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\Users\bartek\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\bartek\AppData\Local\Microsoft\Windows\GameExplorer\{AF00D60D-02F5-4A22-93D2-AE7B677ABEA9} C:\Users\bartek\AppData\Local\Microsoft\Windows\GameExplorer\{6FA4E3F0-3F61-4A4A-A8D1-D8F35F3CAB31} CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Brak poprawy, bo skrypt FRST w ogóle nie wykonany. Otwórz plik Fixlog - żadna z linii nie przetworzona. Czy Fix został ręcznie przerwany, a może FRST "przestał działać"? Wytnij ze skryptu komendę CreateRestorePoint:, następnie powtórz punkt 2 z poziomu Trybu awaryjnego Windows, po tym przejdź w Tryb normalny i dostarcz świeże logi.

Po tytułowym programie widać tylko jeden odpadkowy katalog C:\ProgramData\AMMYY i to nie ma znaczenia. Ale w systemie są inne grubsze problemy, czyli infekcje adware (Lightzap, PriceFountain i problemy w obu przeglądarkach). Do usunięcia będą też różne puste wpisy. Operacje do przeprowadzenia: 1. Problemy w przeglądarkach: - Jest tu zdefektowane przez adware Google Chrome (zmodyfikowane biblioteki DLL). Wymagana reinstalacja od zera. Odinstaluj całkowicie przeglądarkę. Przy deinstalacji zaznacz Usuń także dane przeglądarki. - W Firefox odinstaluj rozszerzenia Abduction! i Youtube Downloader - 4K Download, wbudowane adware: KLIK, KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Lightzap\Canranplus.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Lightzap\FreshSolosing.dll => C:\ProgramData\Lightzap\FreshSolosing.dll [257536 2016-02-14] () Task: {002D098A-BCAF-4289-84B3-8050DCB7541A} - System32\Tasks\{285C313D-328A-41FB-9361-304B2A15B5A4} => pcalua.exe -a C:\Users\piotr\AppData\Roaming\uTorrent\uTorrent.exe -c /UNINSTALL Task: {26F8BE0E-9C46-4CEA-ABD7-8B672E613E40} - System32\Tasks\psv_DonTraxfresh => /c regedit.exe /s "C:\ProgramData\Lightzap\ZaamIng.reg" & del "C:\ProgramData\Lightzap\ZaamIng.reg" & SCHTASKS /Delete /TN "psv_DonTraxfresh" /F Task: {3B165D12-2431-4064-83CE-F4E78FBE6596} - System32\Tasks\psv_Keyzimex => /c regedit.exe /s "C:\ProgramData\Lightzap\Trustlight.reg" & del "C:\ProgramData\Lightzap\Trustlight.reg" & SCHTASKS /Delete /TN "psv_Keyzimex" /F Task: {3B7133F7-7211-415F-8E10-57D4CA7C4B6C} - System32\Tasks\psv_Tamptough => /c regedit.exe /s "C:\ProgramData\Lightzap\HotRon.reg" & del "C:\ProgramData\Lightzap\HotRon.reg" & SCHTASKS /Delete /TN "psv_Tamptough" /F Task: {589E0B95-1E7C-4931-9485-7C0017408114} - System32\Tasks\piotrMuggeredIntroducerV2 => Rundll32.exe CurrycombShitted.dll,main 7 1 Task: {5A63ED82-8231-45E8-AF59-550914F2AB91} - System32\Tasks\{4A1F0962-D810-4AA2-A6C5-D337975D404E} => pcalua.exe -a C:\Users\piotr\Desktop\PhotoshopPortable.exe -d C:\Users\piotr\Desktop Task: {5BE9E27F-32A6-4FE8-B11F-801A24F9041E} - System32\Tasks\{A204B87F-3957-4DB8-AF84-F4ACEAFAD3EF} => pcalua.exe -a F:\PhotoshopPortable.exe -d F:\ Task: {75EDCA7A-8EA9-4EBA-9BA3-47C28396F86F} - System32\Tasks\psv_GrooveDox => /c regedit.exe /s "C:\ProgramData\Lightzap\LexiLotdom.reg" & del "C:\ProgramData\Lightzap\LexiLotdom.reg" & SCHTASKS /Delete /TN "psv_GrooveDox" /F Task: {7DC71B45-FA0A-4683-B362-A9F52D82A95E} - System32\Tasks\{1DC029F8-443C-406A-8220-4A99BF14DA4D} => pcalua.exe -a C:\Users\piotr\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {81E8817A-F423-456D-B159-F8C6BD073B77} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: {AF685482-7468-4E8D-84FE-CA50270BC826} - System32\Tasks\{380B4E25-1B68-1CA5-C522-172CD713D6CC} => C:\Users\piotr\AppData\Roaming\PriceFountainUpdateVer\Updater.exe [2013-04-20] () Task: {C0F10817-6021-40D2-AB08-D377E395BFCD} - System32\Tasks\piotrTraumatologiesSalivaryV2 => Rundll32.exe NeutralizationsProcedurals.dll,main 7 1 Task: {C8E3BC61-C001-48D2-9116-2CE98AFBA737} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {D9C779BB-EC8F-45C4-BB27-474FCD07F145} - System32\Tasks\Driver Booster SkipUAC (piotr) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {DEF3926A-8806-47E4-BCE1-B109B4E409CA} - System32\Tasks\psv_Coftech => /c regedit.exe /s "C:\ProgramData\Lightzap\Tempin.reg" & del "C:\ProgramData\Lightzap\Tempin.reg" & SCHTASKS /Delete /TN "psv_Coftech" /F Task: {F74D8A2B-3F63-4ACB-AE3C-CA6173F345CB} - System32\Tasks\{5DBABE6C-0B5A-4775-B6A3-5E360D8B45EC} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\setup.exe" -c -runfromtemp -removeonly Task: {FBF1FFAE-464D-4AFB-B482-8832A0ECD59F} - System32\Tasks\{A4E11ADD-5F8A-4B7F-B362-87570EBFD544} => pcalua.exe -a "E:\Total Media\Setup.exe" -d "E:\Total Media" Task: {FDFA9572-8EB2-4A2B-9EEE-EC9B56284377} - System32\Tasks\piotrOreDrainedV2 => Rundll32.exe LecturedCompels.dll,main 7 1 Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\{380B4E25-1B68-1CA5-C522-172CD713D6CC}.job => C:\Users\piotr\AppData\Roaming\PRICEF~1\Updater.exe S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit) S2 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\...\Run: [AdobeAAMUpdater-1.0] => "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" HKU\S-1-5-21-4203839743-1770721236-564859656-1000\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_23_0_0_162_pepper.exe -update pepperplugin FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] FF Plugin-x32: @messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6 -> C:\Program Files (x86)\Yahoo!\Shared\npYState.dll [2012-05-25] (Yahoo! Inc.) FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [brak pliku] FF user.js: detected! => C:\Users\piotr\AppData\Roaming\Mozilla\Firefox\Profiles\50s4jlvj.default\user.js [2015-12-16] FF NewTab: Mozilla\Firefox\Profiles\50s4jlvj.default -> FF DefaultSearchUrl: Mozilla\Firefox\Profiles\50s4jlvj.default -> hxxp://search.yahoo.com/search?fr=mkg030&p= FF SelectedSearchEngine: Mozilla\Firefox\Profiles\50s4jlvj.default -> Yahoo FF Keyword.URL: Mozilla\Firefox\Profiles\50s4jlvj.default -> hxxp://search.yahoo.com/search?fr=mkg030&p= HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-4203839743-1770721236-564859656-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4203839743-1770721236-564859656-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4203839743-1770721236-564859656-1000 -> {DECA3892-BA8F-44b8-A993-A466AD694AE4} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=mkg028 SearchScopes: HKU\S-1-5-21-4203839743-1770721236-564859656-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: Brak nazwy -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] AlternateDataStreams: C:\ProgramData\Dane aplikacji:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD [971] C:\Program Files (x86)\IObit C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\AMMYY C:\ProgramData\fenoccnhiaidjfmjmfodlmdfolakgdgb C:\ProgramData\Lightzap C:\ProgramData\ProductData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Application Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD X Player 5.5 Professional C:\Users\piotr\AppData\Local\housecall.guid.cache C:\Users\piotr\AppData\Local\Temp-log.txt C:\Users\piotr\AppData\Local\MuggeredIntroducer C:\Users\piotr\AppData\Local\Opera Software C:\Users\piotr\AppData\Local\OreDrained C:\Users\piotr\AppData\Roaming\*.* C:\Users\piotr\AppData\Roaming\Opera Software C:\Users\piotr\AppData\Roaming\PriceFountainUpdateVer C:\Users\piotr\AppData\Roaming\ProductData C:\Users\piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\piotr\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence C:\Users\piotr\AppData\Roaming\Mozilla\Firefox\Profiles\50s4jlvj.default\searchplugins C:\Users\Public\Desktop\Adobe Application Manager.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. Teraz jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Można w miarę możliwości wspomóc mój serwis przez dotacje. Link w mojej sygnaturze.

Problemem są zmodyfikowane serwery DNS Windows, poniższy adres jest rosyjski. Ale w systemie są też inne odpadki adware, w tym fałszywy profil adware podstawiony w Chrome. Tcpip\..\Interfaces\{B9A4709D-CAD1-4D70-A8D2-701D8F79555C}: [NameServer] 188.120.239.115,8.8.8.8 Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{B9A4709D-CAD1-4D70-A8D2-701D8F79555C}: [NameServer] 188.120.239.115,8.8.8.8 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-9055292-1167892610-523672942-1005\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-9055292-1167892610-523672942-1005 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO: Search App by Ask -> {41444150-2D43-322D-4700-7A786E7484D7} -> "C:\Program Files\AskPartnerNetwork\Toolbar\ADAP-C2-G\Passport.dll" => Brak pliku Toolbar: HKLM - Search App by Ask - {41444150-2D43-322D-4700-7A786E7484D7} - "C:\Program Files\AskPartnerNetwork\Toolbar\ADAP-C2-G\Passport.dll" Brak pliku HKLM\...\Run: [app] => C:\Program Files\sbqh\uc.exe HKU\S-1-5-21-9055292-1167892610-523672942-1005\...\Run: [svchost0] => C:\Program Files\sbqh\uc.exe HKU\S-1-5-21-9055292-1167892610-523672942-1005\...\Run: [YVZBPWPC77] => "C:\Program Files\DPower\YI85EFO924.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku U0 aswVmm; Brak ImagePath Task: {276D1BBC-EE53-48D6-A993-0B850CACF29A} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Adrian_) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: {3352BBEA-3BE7-454E-ABCD-F8F8229B0EA5} - System32\Tasks\psv_JobTom => /c regedit.exe /s "C:\ProgramData\Quoteex\Superplus.reg" & del "C:\ProgramData\Quoteex\Superplus.reg" & SCHTASKS /Delete /TN "psv_JobTom" /F Task: {907F05C0-2188-44D6-BD66-4C67B4280855} - System32\Tasks\{5048F14A-E7AE-4543-A652-3B5200E80BB0} => pcalua.exe -a "C:\Program Files\EA GAMES\Need for Speed Underground 2\speed2.exe" -d "C:\Program Files\EA GAMES\Need for Speed Underground 2" Task: {957B0DFA-A14E-4C16-B17B-4740E2432128} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-10-18] (AVAST Software) Task: {A66513DC-5CF9-4ED7-8F39-C9ED2F4F813A} - System32\Tasks\psv_Quadflex => /c regedit.exe /s "C:\ProgramData\Quoteex\Zimdubron.reg" & del "C:\ProgramData\Quoteex\Zimdubron.reg" & SCHTASKS /Delete /TN "psv_Quadflex" /F Task: {D19458E6-E2D7-4C59-AB88-113E74138132} - System32\Tasks\Jizergh Launcher => C:\Program Files\Ferqesp\qegph.exe Task: {D4133C22-34C7-487B-871C-100A66112F8B} - System32\Tasks\{86A2A04B-91BD-426B-8845-78DD2BCD2646} => pcalua.exe -a "C:\Program Files\Common Files\Strongcof\uninstall.exe" -c shuz -f "C:\Program Files\Common Files\Strongcof\uninstall.dat" -a uninstallme AFF3C7A7-3361-477E-A838-2B7FE6745842 DeviceId=f7a6bf77-5f56-946d-f24a-4cf0c4d45424 BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet Task: {F8B32AA2-8B86-4155-8CE6-24C9DA1C4D23} - System32\Tasks\psv_Stimlux => /c regedit.exe /s "C:\ProgramData\Quoteex\Golden-Lam.reg" & del "C:\ProgramData\Quoteex\Golden-Lam.reg" & SCHTASKS /Delete /TN "psv_Stimlux" /F Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - Adrian_).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files\UCBrowser\Application\update_task.exe ShortcutWithArgument: C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DisableService: Mobile Partner. RunOuc C:\Program Files\Ferqesp C:\Program Files\McAfee C:\Program Files\Mozilla Firefox C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files\Common Files\McAfee C:\ProgramData\AVAST Software C:\ProgramData\McAfee C:\ProgramData\mntemp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Otwórz plik Readme gry Twierdza Krzyżowiec.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Otwórz podręcznik gry Twierdza Krzyżowiec (PDF).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Twierdza Krzyżowiec Extreme HD .lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Twierdza Krzyżowiec HD .lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Zainstaluj program GameSpy Arcade (Vista SP1).lnk C:\TOSTACK C:\Users\Administrator C:\Users\Adrian\AppData\Local\UCBrowser C:\Users\Adrian\AppData\Local\Ulighthazertion C:\Users\Adrian\AppData\Roaming\*.* C:\Users\Adrian\AppData\Roaming\Clumick C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\Nero TuneItUp.lnk C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\Optymalizacja 1 kliknięciem.lnk C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\True Key.lnk C:\Users\Adrian\Desktop\Muzyka\Wszystko razem\ACDC*skrót.lnk C:\Users\Adrian_ C:\Users\Public\Thunder Network C:\Windows\system32\Drivers\etc\Hosts.old C:\Windows\System32\Tasks\AVAST Software CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Konieczna wymiana całego profilu Google Chrome. Ustawienia > karta Ustawienia > Osoby > na liście powinien być widoczny profil o nazwie user0 i ten należy usunąć, a po tym zamknąć Chrome. Uruchom ponownie przeglądarkę i sprawdź czy po usunięciu profilu pojawił się nowy. Jeśli nie, trzeba go stworzyć ręcznie opcją Dodaj osobę. 3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń martwy wpis adware Search App by Ask. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

W systemie jest infekcja, ten proces svchost1.exe to trojan uruchamiany z katalogu Temp. Odpala go wpis startowy MicrosoftRunnerService. Przypuszczalnie infekcja nabyta z jednym z cracków / botów do Tibia. Operacje do wdrożenia: 1. W związku z tym, że trudno ustalić który dodatek do Tibia ma zaszytego trojana, usuń wszystko co ostatnio pobrałeś do Tibia. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3268985237-2515974460-3636826075-1001\...\Run: [MicrosoftRunnerService] => C:\Users\FruGo\AppData\Local\Temp\servicecheck.exe [12735488 2016-10-17] () <===== ATTENTION C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Walking Dead Michonne Episode 1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnkhHeart\AnkhBotR2\UELA.lnk C:\Users\FruGo\AppData\Roaming\3909 C:\Users\FruGo\Desktop\The Walking Dead Michonne Episode 1.lnk DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Poboczna sprawa to strony startowe adware w Google Chrome. Pod tym kątem: Zresetuj synchronizację (o ile włączona): KLIK. To konieczne, by złe wpisy nie wracały w kółko z serwera Google. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres awesomehp.com 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

By uzyskać wierną listę wszystkich brakujących łat, należy uruchomić Windows Update, a nie szukać ich ręcznie, bo jest tego zastraszająca ilość (kilka lat aktualizacji do nadrobienia). Jako że jest tu kompletnie nieaktualizowany system, jest pewne uproszczenie dostępne, tzn. po instalacji SP1 i IE11 możesz załadować zbiorczy pakiet zawierający większość łat wydanych między SP1 a kwietniem 2016. Czyli montujesz po kolei: KB3020369 + KB3125574. To jednak niestety nie wszystko (np. aktualizacje IE nie są uwzględnione), i tak wymagane będzie uruchomienie po tym Windows Update. EDIT: Microsoft Catalog działa teraz już we wszystkich głównych przeglądarkach, tylko URL jest inny. Podstawiłam go powyżej. Dodałam też łatę wymaganą, by ten zbiorczy pakiet dało się nałożyć.

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST oraz wszystkie logi FRST z folderu Pobrane. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. System wymaga gruntownej aktualizacji. Stan obecny: Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome) Brak SP1, IE11 i ogromnej ilości innych łat wydanych między SP1 a dniem dzisiejszym.

Wszystko wygląda dobrze. Jeszcze ostatnia poprawka na szczątki widoczne w nowym FRST.txt. Otwórz Notatnik i wklejw nim: BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448217005&z=b25c7c69d0c483d491944a6g7z4zebbofg3q6q7q3q&from=cor&uid=SAMSUNGXSP2514N_S08BJ1LP300284 StartBatch: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f del /q C:\Users\rmk\Desktop\GMER.txt del /q C:\Users\rmk\Downloads\i7ib141w.exe del /q C:\Users\rmk\Downloads\adwcleaner*.exe EndBatch: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4 RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 2.4 RemoveDirectory: C:\Users\rmk\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. Nowe skany FRST zbędne.

Fix pomyślnie wykonany, ale dostarczyłeś podwójny Fixlog.txt (jeden usuwam), za to brakuje nowego skanu FRST.txt. Poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Guntony DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\55e7cc3e_0 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Reg: reg delete "HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Guntony\Guntony\chrome.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Powstanie kolejny fixlog.txt. 2. Po w/w akcji możesz już ustawić Google Chrome jako domyślną przeglądarkę. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.