picasso

W podanych raportach brak oznak infekcji, ale mam pytanie: czy to rosyjskie proxy w Firefox jest celowym ustawieniem? Przeklej z dziennika ESET w czym tytułowe zagrożenie zostało wykryte (w jakiej ścieżce dostępu), bo sama nazwa nie świadczy o niczym i nie może być użyta do jednoznacznej identyfikacji. PS. Tylko drobniutka kosmetyka do wykonania. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\48265782.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\53364022.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\95676125.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\96126848.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\99585893.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\48265782.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\53364022.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\95676125.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\96126848.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\99585893.sys => ""="Driver" S3 amdiox86; system32\DRIVERS\amdiox86.sys [X] U3 DfSdkS; No ImagePath C:\ProgramData\TEMP CMD: sc config "Mobile Partner. RunOuc" start= demand CMD: type C:\Users\DG\AppData\Roaming\Mozilla\Firefox\Profiles\oldx53dy.default\user.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Na temat używania ComboFix: KLIK. Log już zostaw by było wiadome co robił. Dostosuj się do zasad działu: KLIK. - Dostarcz obowiązkowe tu logi z FRST, OTL i GMER. - Przeklej z dziennika ESET w czym wykrył zagrożenie (konkretna ścieżka dostępu).

Brakuje obowiązkowego GMER. Przed jego uruchomieniem należy się pozbyć sterownika SPTD od emulacji napędów wirtualnych. Proszę o dostarczenie konkretów (raportów) co było usuwane, włącznie z logami z folderu C:\AdwCleaner. Sprawdź czy wniesie coś do sprawy deinstalacja Microsoft Security Essentials. Czekam jeszcze na ten GMER, ale póki co to tu nie widać żadnej czynnej infekcji, tylko szczątki (nieaktywne) w mapowaniu MountPoints2 (historia podpinania przenośnych USB), co nie ma żadnego związku z objawami. Na razie do usunięcia tylko puste wpisy / szczątki po programach: 1. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz po kolei odpadkowe wpisy antywirusów ArcaVir Prerequistes, AVSDK5 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {3657F346-C05A-4948-A21D-163F2C89AEC9} - System32\Tasks\DriverDoc_UPDATES => C:\Program Files\DriverDoc\Solvusoftdd.exe Task: {8B564BB2-4313-452E-AA08-1FAED19592F0} - System32\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar => C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE Task: {95383781-7513-41DB-B985-6E991DC27B8F} - System32\Tasks\ParetoLogic Update Version2 => C:\Program Files\Common Files\ParetoLogic\UUS2\Pareto_Update.exe Task: {B52F4B11-00AF-4ADB-9992-0DCA5E049FF0} - System32\Tasks\DriverDocRunAtStartup => C:\Program Files\DriverDoc\Solvusoftdd.exe Task: {E5FC41AC-8F94-45AC-A1FF-D97891FC4B3D} - System32\Tasks\ParetoLogic Registration => Rundll32.exe "C:\Program Files\Common Files\ParetoLogic\UUS2\UUS.dll" RunUns Task: C:\Windows\Tasks\DriverDoc_UPDATES.job => C:\Program Files\DriverDoc\Solvusoftdd.exe Task: C:\Windows\Tasks\ParetoLogic Registration.job => C:\Program Files\Common Files\ParetoLogic\UUS2\UUS.dll Task: C:\Windows\Tasks\ParetoLogic Update Version2.job => C:\Program Files\Common Files\ParetoLogic\UUS2\Pareto_Update.exe Task: C:\Windows\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar.job => C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE S1 bcazqvnc; \??\C:\Windows\system32\drivers\bcazqvnc.sys [X] S2 eamonm; system32\DRIVERS\eamonm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 MSICDSetup; \??\D:\CDriver.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. CHR HKLM\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Program Files\Google\Chrome\User Data\Default\Extensions\serach.crx [] CHR HKLM\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Program Files\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx [] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\Temp C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\OpenOffice.org 3.1.lnk.Startup C:\Windows\system32\sqlite3.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ABConfSV" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ABMainSV" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ArcaRemoteService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVBackup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVTasks2" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vseamps" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vsedsps" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vseqrts" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vToolbarUpdater10.2.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Jurek^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MDS_Menu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Olympus ib" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pareto_Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickPhrase" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage Search Scope Monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage_4j Browser Plugin Loader" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_dec12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Uwagi wstępne: - Adware nabyte poprzez nieuwagę, instalator sponsorowany śmieciami lub "downloader portalowy": KLIK. Przykładowo u Ciebie na dysku widać wiele plików "Asystenta pobierania" dobrychprogramów.pl. - Zawsze zaczyna się od poprawnej deinstalacji adware via Panel sterowania, następnie powtórzenie akcji w menedżerach rozszerzeń przeglądarek, dopiero po tym można użyć AdwCleaner i inne automaty. Odwrotna kolejność ma skutki uboczne: jako że automaty nie prowadzą deinstalacji tylko na chama usuwają wpisy, mogą pozostać wejścia, które normalnie usunęłaby deinstalacja. - W systemie nadal jest czynne adware (niejaki FastPlayer, sterownik webinstrNew.sys, Harmonogram zadań wytapetowany). Poza tym, w tle działa wątpliwy program YAC (Yet Another Cleaner): KLIK. To nie jedyny wątpliwy skaner, do którego się przymierzałeś, na dysku są także ślady lewego SpyHunter. I przypuszczalnie sterowniki adware i/lub YAC są powodem problemów z siecią i pobieraniem. Nie wiem skąd Ci się wzięło podejrzenie Sality... - Przeglądarki Google Chrome i Firefox wyglądają na uszkodzone lub niepoprawnie odinstalowane (brak wejść na liście zainstalowanych), będę usuwać więc ich foldery z dysku, w których notabene jest nadal adware. Nie jest znana zawartość przeglądarki Opera (uruchomiona w procesach), gdyż żadne z narzędzi jej nie skanuje, ale dane o niej pobiorę ręcznie. Przeprowadź następujące działania: 1. Na początek deinstalacje: - Tradycyjnie poprzez Panel sterowania odinstaluj: FastPlayer, McAfee Security Scan Plus, videos_MediaPlayers_v1.2+. Jeśli nie będzie widać którejś pozycji lub zwróci ona błąd, nie szkodzi. Kontynuuj: - YAC tam nie występuje, uruchom więc ręcznie plik C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe (prawoklik na plik i Uruchom jako Administrator) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {052FED14-726E-46AD-A7B4-62AD6CC2BC98} - System32\Tasks\HM => C:\Users\Ninos\AppData\Roaming\HM.exe [2014-10-08] (Object Browser) Task: {4549C3A4-2C45-4F55-A546-15862D8B91D2} - System32\Tasks\SPBIW_UpdateTask_Time_313135343432383234392d5b5b4a346c4123452a5a556c => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {58EE346C-1BF3-483F-9CE6-93AD22FC9692} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-1.job => C:\Program Files (x86)\Senses\Senses-codedownloader.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-11.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-11.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-2.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-2.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-3.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-3.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-4.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-4.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-5.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-5.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-5_user.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-5.exe Task: C:\WINDOWS\Tasks\9c550b45-9ada-4e6a-9f45-e1e98b039007-11.job => C:\Program Files (x86)\videos_MediaPlayers_v1.2+\9c550b45-9ada-4e6a-9f45-e1e98b039007-11.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-11.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-11.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-2.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-2.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-4.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-4.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-5_user.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.exe Task: C:\WINDOWS\Tasks\SpeedChecker Update.job => C:\Program Files (x86)\ver5SpeedChecker\i1SpeedCheckeru59.exe R2 FastPlayerUpdaterService; C:\Program Files (x86)\FastPlayer\FastPlayerUpdaterService.exe [11776 2014-09-30] () [File not signed] R2 webinstrNew; C:\WINDOWS\system32\Drivers\webinstrNew.sys [56504 2014-10-16] (Corsica) S1 {29302da5-1178-40ac-a178-4cb57ebcc501}Gw64; system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64.sys [X] S1 {a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64; system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys [X] S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] S2 SPDRIVER_1.37.0.1359; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1359\jsdrv.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\...\Policies\Explorer: [NoControlPanel] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 BHO-x32: Framed Display -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll No File C:\Program Files\plugins.dat C:\Program Files\McAfee Security Scan C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\FastPlayer C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\videos_MediaPlayers_v1.2+ C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840 C:\ProgramData\EmailNotifier C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\Temp C:\ProgramData\Thunder Network C:\ProgramData\Xunlei C:\ProgramData\Microsoft\Windows\Start Menu\YAC.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FastPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk.1413378507.old C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\Gäst\Desktop\FastPlayer.lnk C:\Users\Ninos\AppData\Local\com C:\Users\Ninos\AppData\Local\CrashRpt C:\Users\Ninos\AppData\Local\fastplayer C:\Users\Ninos\AppData\Local\Google\Chrome C:\Users\Ninos\AppData\Local\Mozilla C:\Users\Ninos\AppData\Roaming\*.exe C:\Users\Ninos\AppData\Roaming\eCyber C:\Users\Ninos\AppData\Roaming\Elex-tech C:\Users\Ninos\AppData\Roaming\Mozilla C:\Users\Ninos\Desktop\FastPlayer.lnk C:\Users\Ninos\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Ninos\Downloads\*(*)-dp* C:\Users\Ninos\Downloads\*_www.INSTALKI.pl* C:\Users\Ninos\Downloads\9886749d79024d39ba156d4db172e2e2 C:\Users\Ninos\Downloads\ComboFix*.exe C:\Users\Ninos\Downloads\install_flash_player.exe C:\Users\Ninos\Downloads\ReimageRepair.exe C:\Users\Ninos\Downloads\Setup.exe C:\Users\Ninos\Downloads\SpyHunter-installer*.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk C:\Users\Public\Desktop\Wznów Instalację Reimage Repair.lnk C:\Users\Public\Desktop\YAC.lnk C:\Users\Public\Documents\YTAHelper C:\WINDOWS\system32\Drivers\webinstrNew.sys C:\WINDOWS\system32\log Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\FastPlayer /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\videos_MediaPlayers_v1.2+ /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Ninos\AppData\Local CMD: dir /a C:\Users\Ninos\AppData\LocalLow CMD: dir /a C:\Users\Ninos\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. .

Ten wpis nadal jest, ale już wiem czemu się nie skasował, pewnie kwestia formatowania przekształconego przez forum (znaczek "R" w nawiasie przekonwertowany w poście na znak zastrzeżony ®). Finalizując sprawy: 1. Siedząc na koncie Mateusz Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > przejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Z prawokliku skasuj wartość Windows® Statistics Service kierującą do WinSTAT.exe. 2. Usuń używane narzędzia za pomocą DelFix. 3. Na wszelki wypadek zmieniłabym hasła logowania do banku. .

Z przyklejonej instrukcji: Akcja pomyślnie wykonana, ale to nie koniec działań. Odtworzyły się zadania typu AT* w Harmonogramie. Ponadto, Robak Brontok tworzy w wielu folderach falsyfikaty, czyli pliki EXE mające ikonkę folderu i w nazwie symujące folder w którym zostały utworzone (np. C:\Users\Users.exe). Przypadkowe uruchomienie takiej podróbki odtworzy infekcję Brontok. Log FRST jest ograniczony i tylko nietóre z takich plików były widoczne, z pewnością jest więcej i musi być zrobiony ogólny skan antywirusowy. Na razie jednak dokończenie tego co widać: 1. Otwórz Notatnik i wklej w nim: C:\Users\Data KJ.exe C:\Users\Users.exe C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\Templates.exe C:\windows\Tasks\At*.job C:\windows\System32\Tasks\At* RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\KJ\Desktop\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. W FRST uruchom Scan, zaznacz pole Addition i tylko ten log mi przedstaw. Dołącz też plik fixlog.txt. .

Co masz na myśli? Obecny log z FRST wykazuje, że oba sterowniki Tages zniknęły z systemu. Nie ma już tych pozycji: ==================== Drivers (Whitelisted) ==================== S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [278728 2014-10-04] () R2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [25416 2014-10-04] () Czyszczenie z adware też wykonane i tu już typowe kroki końcowe: 1. Skasuj z Pulpitu folder Old Firefox Data oraz naprawa z "New folder" skąd był uruchamiany FRST. Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu, o ile coś powstało (na początku brak punktów): KLIK. .

Tak jest, system zgwałcony przez adware. Metody nabycia: KLIK. Uruchomiłeś jakiś "downloader". Spoza tematu adware jeszcze widać niedawno pobrany "Portable Excel" (nawiasem mówiąc portable to mit, jest tworzony folder "Thinstall"), skan tego czegoś na VirusTotal: KLIK (w karcie dodatkowych szczegółów jest odwołanie do pliku Portable EXCEL 2003 PL._5fantastic.pl_.exe, który jest u Ciebie na dysku). Przeprowadź następujące działania: 1. Na początek deinstalacje adware: - Poprzez tradycyjny Panel sterowania: RandomPrice, WinZipper, YTD Video Downloader 4.8.5 - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals)> Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 fc67e7a0; c:\Program Files (x86)\DeltaFix\DeltaFix.dll [3978752 2014-10-28] () [File not signed] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S1 dqnalkcg; \??\C:\Windows\system32\drivers\dqnalkcg.sys [X] S1 gtkiqgdu; \??\C:\Windows\system32\drivers\gtkiqgdu.sys [X] S1 nezmxysv; \??\C:\Windows\system32\drivers\nezmxysv.sys [X] S1 rktwjmur; \??\C:\Windows\system32\drivers\rktwjmur.sys [X] S1 wrntpzhx; \??\C:\Windows\system32\drivers\wrntpzhx.sys [X] S1 yauaqdfq; \??\C:\Windows\system32\drivers\yauaqdfq.sys [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Task: {7D279029-D5BD-47B3-BE2A-10F18B71F2C3} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378&type=default&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391856833&from=exp&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391856833&from=exp&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: RandomPrice -> {e825a11c-db79-4872-87d2-f14763c1e324} -> C:\ProgramData\RandomPrice\2B6Fp3lvComr6N.x64.dll () BHO-x32: RandomPrice -> {e825a11c-db79-4872-87d2-f14763c1e324} -> C:\ProgramData\RandomPrice\2B6Fp3lvComr6N.dll () FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\tn6mwzn8.default\extensions\shortcutff@gmail.com C:\Program Files (x86)\Adblocker C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\WinZipper C:\ProgramData\d195380caa514720 C:\ProgramData\RandomPrice C:\ProgramData\Trusted Publisher C:\ProgramData\WPM C:\Users\HomeGroupUser$ C:\Users\Administrator C:\Users\Gość C:\Users\Admin\AppData\Local\17712 C:\Users\Admin\AppData\Local\27683 C:\Users\Admin\AppData\Local\Chromatic Browser C:\Users\Admin\AppData\Local\Comodo C:\Users\Admin\AppData\Local\genienext C:\Users\Admin\AppData\Local\Google C:\Users\Admin\AppData\Local\Torch C:\Users\Admin\AppData\Roaming\337Games C:\Users\Admin\AppData\Roaming\Babylon C:\Users\Admin\AppData\Roaming\Bonanza C:\Users\Admin\AppData\Roaming\DVDVideoSoft C:\Users\Admin\AppData\Roaming\GoforFiles C:\Users\Admin\AppData\Roaming\Systweak C:\Users\Admin\AppData\Roaming\Thinstall C:\Users\Admin\AppData\Roaming\WinZipper C:\Users\Admin\Downloads\django-unchained-eng-4770000.exe C:\Users\Admin\Downloads\Portable EXCEL 2003 PL._5fantastic.pl_.exe C:\Users\Admin\Downloads\setup.exe C:\Windows\Base64.dll C:\Windows\clfct.dll C:\Windows\jimglib.dll C:\Windows\sassr.dat C:\Windows\sysk32.dll C:\Windows\SysWow64\hfpapi.dll C:\Windows\SysWow64\sinvfct.dll C:\awh*.tmp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{75B1EA5E-B09C-B960-322E-21187775557D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{75B1EA5E-B09C-B960-322E-21187775557D}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{016DC87C-94D1-045D-B108-53564C412C2B}" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Admin\IGC Folder: C:\Users\Admin\AppData\Roaming\IGC Folder: C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Czy coś usuwałeś ręcznie przed wykonaniem skryptu FRST, a może być używany msconfig? Ta odpadkowa wartość kierująca do WinSTAT.exe nie została znaleziona. Na wszelki wypadek zrób mi jeszcze raz log FRST z poziomu konta Mateusz (bez Addition i Shortcut).

Zadanie wykonane. Możesz już usunąć plik C:\DelFix.txt. Temat rozwiązany. Zamykam.

W angielskim Firefox: menu Help > Troubleshooting Information > Reset Firefox. A jeśli ma być na stałe polski Firefox, nadpisz obecną instalację polskim instalatorem Firefox: KLIK.

Paragon16 nie tak szybko. MBAM nie jest programem antywirusowym i nie leczy wykonywalnych, więc sprawa infekcji Jeefo to tu raczej nadal aktualna. Poza tym, skoro coś usuwałeś, to proszę o: nowe logi z FRST wykazujące zmiany (przypominam: proszę pobierz najnowszą wersję programu) + pokazanie raportu z MBAM co usuwał.

OK, czyli jest tu jasna sprawa. To ustawienie nowej karty nie występuje na nowszych wersjach Internet Explorer. Ustawienie zostanie przywrócone do domyślnej postaci. Jedziemy z kolejnymi poprawkami: 1. Kolejne skrypty fixlist.txt do FRST: ----> Pierwszy: C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web RemoveDirectory: C:\Documents and Settings\Asus\Doctor Web RemoveDirectory: C:\Documents and Settings\Asus\Pulpit\Stare dane programu Firefox Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /t REG_SZ /d "res://ieframe.dll/tabswelcome.htm" /f CMD: sc config Eventlog start= disabled Reboot: ----> Drugi: C:\WINDOWS\system32\config\Doctor Web.evt RemoveDirectory: C:\FRST\Quarantine CMD: sc config Eventlog start= auto Reboot: Jak poprzednio, po kolei uruchom FRST i kliknij w Fix. Zaprezentuj oba wynikowe pliki fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

Czy wykonałeś Fix? Typowy VBKlip opiera się na pojedynczym zadaniu startującym via Harmonogram. Log z FRST przedstawi go w ten sposób: ==================== Scheduled Tasks (whitelisted) ============= Task: {D23B4F95-12F2-413D-A3A9-C55814ED46D3} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-15] (Microsoft® Corporation) Task: {3E60B94C-D9C5-44DC-8F4A-785A3D92D2A3} - System32\Tasks\SYSTEM => C:\ProgramData\wms.exe [2014-10-12] (Microsoft® Corporation) U Ciebie występował inny bardziej rozbudowany wariant uruchamiający się wielokrotnie na różne sposoby. Nie jestem pewna co to za wersja ten "WinSTAT".

Poprawki: 1. Otwórz Notatnik i wklej w nim: S2 AdobeFlashPlayerUpdateSvc; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [X] C:\ProgramData\Babylon C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\install_clap C:\ProgramData\PDF Architect 2 C:\ProgramData\Temp C:\Users\Tomek\AppData\Local\Adobe C:\Users\Tomek\AppData\Local\avgchrome C:\Users\Tomek\AppData\Local\cache C:\Users\Tomek\AppData\Local\ChomikBox C:\Users\Tomek\AppData\Local\CrashDumps C:\Users\Tomek\AppData\Local\DirectDownloader C:\Users\Tomek\AppData\Local\ESET C:\Users\Tomek\AppData\Local\onlysearch C:\Users\Tomek\AppData\Local\Pay-By-Ads C:\Users\Tomek\AppData\LocalLow\Delta C:\Users\Tomek\AppData\LocalLow\Incredibar.com C:\Users\Tomek\AppData\LocalLow\searchgol C:\Users\Tomek\AppData\LocalLow\Temp C:\Users\Tomek\AppData\LocalLow\Toolbar4 C:\Users\Tomek\AppData\Roaming\Adobe C:\Users\Tomek\AppData\Roaming\ESET C:\Users\Tomek\AppData\Roaming\Gadu-Gadu 10 C:\Users\Tomek\AppData\Roaming\PDF Architect 2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

Fix pomyślnie przetworzony. Na koncie Mateusz również są nieusunięte szczątki malware WinSTAT. Poprawki będąc zalogowanym na koncie Mateusz. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-606281877-1479866930-3929170589-1003\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe S2 jhi_service; "C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe" [X] RemoveDirectory: C:\Users\Mateusz\AppData\Roaming\tor RemoveDirectory: C:\Users\Mateusz\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Tomek\AppData\Roaming\tor RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. I trzeba się zastanowić jakie było źródło tego malware. Prawdopodobnie pobrałeś coś co miało doczepionego backdoora. Czy jesteś w stanie powiązać wystąpienie objawów ze ściągnięciem czegoś konkretnego? .

Dodam, że były do usunięcia określone puste wpisy (w Harmonogramie oraz IE) oraz błąd w komendzie i się nie wykonała: [resetshosts].

Wszystko wykonane poprawnie. Możemy kończyć: 1. Mała poprawka. Otwórz Notatnik i wklej w nim: FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń C:\Users\komp\Downloads\programy do robienia logów i zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj starą dziurawą wersję Java™ 6 Update 20. .

Potwierdzam wykonanie zadania. Log C:\DelFix.txt możesz skasować z dysku. Temat rozwiązany. Zamykam.

Wykonane. Kończymy: 1. Usuń używane narzędzia za pomocą DelFix. GMER dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Proponuję dorzucić jeszcze darmową wersję Malwarebytes Anti-Exploit.

Wszystko zrobione. Programy antywirusowe zostały odblokowane. Log z FSS pokazuje jeszcze, że Windows Update jest zdeaktywowane. Drobne poprawki. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] CMD: sc config wuauserv start= delayed-auto DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. .

W systemie są oznaki infekcji, a programów antywirusowych nie da się uruchomić, gdyż infekcja wprowadziła blokadę na poziomie polityk oprogramowania. Przypuszczalnie eksploit np. Java był przyczyną infekcji. Przeprowadź następujące operacje: 1. Na początek odinstaluj jeden z antywirusów, gdyż jest ich za dużo: AVG 2015 lub Avira Free Antivirus. Dodatkowo jeszcze odinstaluj starszą wersję Java 7 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AlternateDataStreams: C:\Windows:9EE977B70241662B HKLM Group Policy restriction on software: C:\Program Files (x86)\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes HKLM Group Policy restriction on software: C:\Program Files (x86)\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Avira HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVAST Software Task: {3FE03D29-0B8E-4C07-A4F8-7726ECC8262F} - \GPUP No Task File Task: {69C128BF-4DBC-4980-BC20-FD1FC06F078D} - System32\Tasks\EnergoTech Update => C:\ProgramData\EnergoTech\update12.exe Task: {F8F1D53E-5473-4F01-BF28-4D0358D11884} - System32\Tasks\Chrome Launcher => C:\Program Files (x86)\Techsnab\Chrome Launcher\chrome-links.exe Startup: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip () ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File SearchScopes: HKCU - {52970FDE-1250-4AB9-A21B-6D2A4ECED1CB} URL = https://uk.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=282369&p={searchTerms} FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo C:\ProgramData\*.log C:\ProgramData\YiggUhuy C:\Users\Piotrek\AppData\Local\*.log C:\Users\Piotrek\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Piotrek\AppData\Local\kuphoqej C:\Users\Piotrek\Desktop\Programy\avast! Free Antivirus.lnk C:\Users\Piotrek\Desktop\Programy\Avira.lnk C:\Users\Piotrek\Desktop\Programy\Comodo Dragon.lnk C:\Users\Piotrek\Desktop\Programy\COMODO Firewall.lnk C:\Users\Piotrek\Desktop\Programy\GeekBuddy.lnk C:\Windows\avast5.ini C:\Windows\pss\Start GeekBuddy.lnk.CommonStartup C:\Windows\system32\log C:\Windows\SysWow64\avast5.ini RemoveDirectory: C:\Users\Piotrek\Downloads\FRST-OlderVersion Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Start GeekBuddy.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetWorx" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PrivDogService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchProtection" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. .

Usuwanie via Fix oraz AdwCleaner wykonane pomyślnie. Zanim zadam czynności końcowe: Jak mówiłam, program jest uszkodzony (wygląda na częściowo odinstalowany), toteż zostaje usunięcie wpisów rejestru wykrytych przez Revo. Jednak przed tą akcją na wszelki wypadek utwórz ręcznie punkt Przywracania systemu.

Wirtualny napęd a sterownik do obsługi takowych to nie są tożsame rzeczy. I w ogłoszeniu jest przecież narzędzie SPTDinst, które służy do detekcji obecności tego sterownika. Ten sterownik SPTD (zresztą bardzo stary) i tak już wyłączyłam w skrypcie FRST przygotowując go do całkowitego usunięcia, co zostanie przeprowadzone w kolejnym skrypcie. Kolene poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-12-11] (Duplex Secure Ltd.) SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @java.com/DTPlugin -> C:\Program Files (x86)\Java\jre6\bin\npDeployJava1.dll No File C:\Program Files (x86)\DownVision C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\My Company Name C:\ProgramData\McAfee C:\ProgramData\Oracle C:\ProgramData\RegClean C:\ProgramData\Sun C:\ProgramData\Symantec C:\Users\Grzegorz\AppData\Local\APN C:\Users\Grzegorz\AppData\Local\Babylon C:\Users\Grzegorz\AppData\Local\cache C:\Users\Grzegorz\AppData\Local\Conduit C:\Users\Grzegorz\AppData\Local\CrashDumps C:\Users\Grzegorz\AppData\Local\DVDVideoSoft_Ltd C:\Users\Grzegorz\AppData\Local\genienext C:\Users\Grzegorz\AppData\Local\Macromedia C:\Users\Grzegorz\AppData\Local\Mobogenie C:\Users\Grzegorz\AppData\Local\WMTools Downloaded Files C:\Users\Grzegorz\AppData\LocalLow\Conduit C:\Users\Grzegorz\AppData\LocalLow\DVDVideoSoftTB C:\Users\Grzegorz\AppData\LocalLow\FunWebProducts C:\Users\Grzegorz\AppData\LocalLow\Macromedia C:\Users\Grzegorz\AppData\LocalLow\MyWebSearch C:\Users\Grzegorz\AppData\LocalLow\PriceGong C:\Users\Grzegorz\AppData\LocalLow\Softonic C:\Users\Grzegorz\AppData\LocalLow\Sun C:\Users\Grzegorz\AppData\LocalLow\Temp C:\Users\Grzegorz\AppData\LocalLow\Toolbar4 C:\Users\Grzegorz\AppData\Roaming\Download Manager C:\Users\Grzegorz\Downloads\FreeScreenVideoRecorder.exe C:\Windows\System32\Drivers\sptd.sys RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Grzegorz\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log. .

Zajmę się tym w skrypcie FRST (usunięcie folderu Kosza z dysku). W eksploratorze Windows > Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > Użyj pól wyboru do zaznaczania elementów. Czy chodzi Ci o to, że klikasz na ekranie Startu w te pozycje i nie da się ich otworzyć? W Dzienniku zdarzeń powtarza się błąd procesu związanego z funkcjonowaniem aplikacji Modern UI: Application errors: ================== Error: (10/29/2014 03:50:33 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: wwahost.exe, wersja: 6.2.9200.16420, sygnatura czasowa: 0x505a90d6 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.2.9200.16864, sygnatura czasowa: 0x531d2be6 Kod wyjątku: 0x00000004 Przesunięcie błędu: 0x00010f22 Identyfikator procesu powodującego błąd: 0xc80 Godzina uruchomienia aplikacji powodującej błąd: 0xwwahost.exe0 Ścieżka aplikacji powodującej błąd: wwahost.exe1 Ścieżka modułu powodującego błąd: wwahost.exe2 Identyfikator raportu: wwahost.exe3 Pełna nazwa pakietu powodującego błąd: wwahost.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: wwahost.exe5 Wstępnie sprawdź czy coś pomoże zastosowanie diagnostyka Apps troubleshooter. Prawie wszystko zrobione. Firefoxa zamiast zresetować odinstalowałeś, tylko że przy deinstalacji nie zaznaczyłeś, by usuwać dane przeglądarki i w konsekwencji i tak cały profil Firefox z adware nadal jest na dysku. Wymagane poprawki: 1. W związku z tym, że odinstalowałeś Firefox, odinstaluj także Adobe Flash Player 15 Plugin. To wtyczka dla Firefox/Opera. Google Chrome ma własną wbudowaną. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SupTab C:\Program Files (x86)\WinZipper C:\ProgramData\IePluginService C:\ProgramData\Norton C:\Users\grzegorz\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\grzegorz\AppData\Local\Mobogenie C:\Users\grzegorz\AppData\Local\Mozilla C:\Users\grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\grzegorz\AppData\Roaming\Mozilla C:\Users\grzegorz\AppData\Roaming\PerformerSoft C:\Users\grzegorz\AppData\Roaming\systweak RemoveDirectory: C:\$RECYCLE.BIN Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SweetIM /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{953AA732-9AFB-49C9-84A4-7F96CA0A08DA} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\grzegorz\AppData\Local CMD: dir /a C:\Users\grzegorz\AppData\LocalLow CMD: dir /a C:\Users\grzegorz\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Na wszelki wypadek w Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .