picasso

Kaspersky powinien zostać wyłączony podczas usuwania AdwCleaner. Konflikt detekcji. Nagle się obudził, bo obiekt adware próbował przetwarzać AdwCleaner. Ten folder miał być usunięty przez AdwCleaner. Pewnie z powodu ingerencji Kasperskiego kosztowało to aż dwie tury. Ale co pokazuje Kaspersky? Klikij w Details i przedstaw co widać.

Podtrzymuję swoją opinię, przyczyna wygląda na inną, może deinstalacja CCleaner spowodowała inną pośrednią zmianę lub nastąpił zbieg okoliczności. To się przecież kupy nie trzyma. A ten temat który linkujesz mówi o całkiem innym kontekście użycia CCleaner (czyszczenie rejestru z innego antywirusa) a nie CCleaner jako takim. Tzn. był zewnętrzny program antywirusowy Norton, usunięto go w niestandardowy sposób co nie spowodowało ponownej aktywacji Windows Defender. Przy zewnętrznym antywirusie Windows Defender jest automatycznie deaktywowany w systemach Windows 8 i 10, ale poprawna deinstalacja takiego antywirusa powinna ponownie włączyć Windows Defender, co się właśnie w temacie nie stało. CCleaner i Total Uninstall są wymieniane w kontekście (niedokładnego) czyszczenia z innych antywirusów... Wszystko zrobione. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu foldery frst + Stare dane programu Firefox. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Dostarczony log pokazuje to co na obrazku, więc nie wiem skąd Ci przyszło do głowy, że nie widać tych wyników. Dużo odpadkowych śmieci po adware/PUP, czyli teraz zastosuj sekwencję Skanuj + Oczyść i dostarcz log z czyszczenia.

Jakoś wątpię, by deinstalacja CCleaner miała coś do rzeczy. Elementy CCleaner w ogóle nie zazębiają się z instalacją Windows Defender... Czy na pewno deinstalacja CCleaner to była jedyna akcja, czy na pewno to nie kolejny restart systemu spowodował odpalenie uprzednio nieaktywnych składników Windows Defender?

Plik Hosts nie został zresetowany (nadal brak pliku), może Kaspersky to zablokował, ale na razie pomijam ten wątek. Wykonaj teraz te poprawki: 1. Czy na pewno resetowałeś ustawienia Chrome? W logu nadal przekierowania Bing (one były przypuszczanie wynikiem aktywności niepożądanej sponsorowanej wersji Bing): CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSearchKeyword: Default -> bing.com 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nie podejrzewam takiej bezczelności. Te infekcje rzeczywiście są na chodzie, a ocena zagrożeń na podstawie IP które w Orange jest zmienne i losowo przypisywane jest niestety zbyt ułomna. To jest potrzebne, by po rekonfiguracji Chrome lokalnie nie wróciły z serwera Google usunięte ustawienia. Po resecie synchronizacji i czyszczeniu Chrome lokalnie można ją włączyć ponownie, na serwerze Google wyglądują zmiany uwzględniające modyfikacje lokalne.

I tu brak widocznych oznak infekcji, tylko odpadki adware/PUP i po odinstalowanych programach niedokładnie wyczyszczone w przeszłości. Czyli do wykonania tylko czyszczenie bufora DNS, Tempów i wpisów odpadkowych. 1. Odinstaluj starocie i zbędne aplikacje: Adobe Flash Player 23 NPAPI (wersja dla Firefox), Akamai NetSession Interface, Flvto Youtube Downloader, Java 7 Update 45, Real Alternative 2.0.2. Ten Flvto Youtube Downloader od Hotger to niepożądany program... 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => Brak pliku HKLM-x32\...\Run: [mobilegeni daemon] => [X] HKLM-x32\...\Run: [TrustPortDiskProtectionWatchDog] => "C:\Program Files (x86)\TrustPort\DiskProtection\bin\TDWatch.exe" HKLM\...\StartupApproved\Run32: => "StereoLinksInstall" HKLM\...\StartupApproved\Run32: => "avgnt" HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKLM\...\StartupApproved\Run32: => "AvgUi" HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "Mobile Partner" HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "" HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "EADM" HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "Akamai NetSession Interface" HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\...\StartupApproved\Run: => "Flvto Youtube Downloader" Task: {0BAD1663-8792-4556-ABB9-47DB8177DF25} - \Yahoo! Search Updater -> Brak pliku <==== UWAGA Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGA Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku <==== UWAGA Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku <==== UWAGA Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku <==== UWAGA Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku <==== UWAGA Task: {9F7F1BF5-6118-4C36-9C13-FA5B2384E43B} - \Yahoo! Search -> Brak pliku <==== UWAGA Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku <==== UWAGA Task: {CB5D670A-CC37-4F1C-9305-DC526F2BB5F0} - System32\Tasks\{07C8D4AB-E61A-48A8-A064-D9714A1D7A7F} => pcalua.exe -a D:\Gry\Elitemt2\EliteMT2.exe -d D:\Gry\Elitemt2 Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku <==== UWAGA DisableService: PLAY ONLINE. RunOuc S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S2 EncDisk; \??\C:\Program Files (x86)\TrustPort\DiskProtection\bin\EncDsk.sys [X] S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /svc [X] <==== UWAGA S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /medsvc [X] <==== UWAGA S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avasdmft => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avas_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avss_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\gozer => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdifw => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpavdrw_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpmgma_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpsec => ""="Driver" GroupPolicy: Ograniczenia - Chrome <======= UWAGA GroupPolicy-x32: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1410885360&from=ild&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms} HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms} HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://rts.dsrlte.com?affID=na HKU\S-1-5-21-1603572158-3032660878-2733051914-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439489052&z=54737d18619602142d636a8gaz7c2t6zdbabet0q7t&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&q={searchTerms} SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {67C334C0-408D-4E6D-B5A7-0ADD6AFFA252} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479&ts=1439489224&type=default&q={searchTerms} BHO: TheTorntv V10 -> {11111111-1111-1111-1111-110611331111} -> Brak pliku BHO-x32: Brak nazwy -> {11111111-1111-1111-1111-110611331111} -> Brak pliku Toolbar: HKU\S-1-5-21-1603572158-3032660878-2733051914-1001 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\program files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449081789&z=2b50b37e3ad3e2187e8c275g8zdzftae5b7gem2b7b&from=cornl&uid=WDCXWD10EZEX-00ZF5A0_WD-WCC1S367947979479 Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{e69d1012-40d1-4e26-9fe9-35d6c0e296a0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\AVG C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ace of Spades C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Origins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis\Action!\User Manual JP.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nostale(PL) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\osu! C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zcom ÔÓÖľ¶©ÔÄĆ÷ C:\Users\User\AppData\Local\{19C1719E-AD4C-4E5F-89A4-7A343DE0D572} C:\Users\User\AppData\Local\{BBC1798E-D615-4AED-B8B0-BA1298FF796C} C:\Users\User\AppData\Local\{BD8C80B8-D4BF-47E3-8C08-6C9323B4B073} C:\Users\User\AppData\Local\housecall.guid.cache C:\Users\User\AppData\Local\AvgSetupLog C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b244525f330c1697\Mighty Quest mqel-live.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\AnySend.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flvto Youtube Downloader C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mirillis C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_22845055.lnk C:\Users\wangjihua C:\Users\wangzhisong CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

1. Tak, to ten plik powoduje detekcję "Firefox" w FRST. Spokojnie do wywalenia ten plik profiles.ini. Nie wiadomo skąd on się znalazł w folderze GG, to plik z danymi Firefox a nie GG... 2. Na koniec przez SHIFT+DEL (omija kosz) skasuj FRST i jego logi z folderu "pomoc" na Pulpicie. Następnie zastosuj jeszcze DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko w kwestii analizowanego tu kompa. Nie, tu jest na odwrót, to router infekuje urządzenia działające pod jego kontrolą, a nie urządzenia podeń podpinane. Przy infekcji routera rekordy DNS są buforowane na każdym urządzeniu, po wyczyszczeniu routera mogą więc nadal być przekierowania z powodu tego cache i po to należy jeszcze robić reset cache DNS po stronie urządzenia, które było pod kontrolą wcześniej zarażonego routera. W Windows jest to łatwe do wdrożenia, ale na innych platformach niestety głównie takich opcji brak...

Jeśli chodzi o skan w poszukiwaniu "profilu Firefox", to jest tylko jeden plik w folderze GG: C:\Users\Hero\AppData\Roaming\GG\profiles.ini Otwórz plik w Notatniku i przeklej jego zawartość do posta. Na urządzeniach innego typu niż lapek czy PC należy wyszukać analogiczne do ipconfig /flushdns ustawienia czyszczenia bufora DNS. A jeśli takowych brak, trzeba resetować urządzenia metodą "twardego resetu", czyli do ustawień fabrycznych.

Co nie zmienia nic w podanych przeze mnie instrukcjach. Nawisem mówiąc, zamiast instalować pełny pakiet ESET Smart Security, mogłeś się posłużyć minimalistyczną wersją ESET Online Scanner, by przeskanować system.

Miałeś mi dostarczyć plik fixlog.txt a nie nowe skany FRST. Ale już to pomińmy. Zemana natomiast wykryła w preferencjach Google Chrome konfigurację Trotux, tylko że profil Chrome był przecież usuwany, a posunąłeś się nawet dalej niż zalecałam, czyli deinstalowałeś Chrome z pełnym usunięciem profilu. Działania końcowe: 1. Odinstaluj stare wersje: Adobe Flash Player 22 NPAPI (to edycja dla nieistniejącego tu Firefoxa), Java SE Development Kit 7 Update 55, Java SE Development Kit 8 Update 60 (64-bit), Java SE Development Kit 8 Update 91 (64-bit). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Materiał edukacyjny na co uważać: KLIK.

Uruchom Zoek. W oknie wklej: AVG Web TuneUp;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt. By wszedł w załączniki, musisz w Opcjach folderów wyłączyć Ukrywanie znanych typów plików i ręcznie zmienić nazwę z *.log na *.txt. Co konkretnie się pokazuje? Czy opcja jest zszarzona, czy może przy próbie włączenia pokazuje się jakiś błąd?

Na przyszłość: zabrakło obowiązkowych plików FRST Shortcut i GMER. Ale już to sobie darujmy, wątpliwe by w nich były dane wnoszące coś do sprawy. Skan Cybertarczy bazuje na IP a nie zawartości systemu, więc tu nie da się zrobić nic więcej niż wymusić zmianę IP (Orange przypisuje adresy zmienne) poprzez reset urządzenia sieciowego. W podanych tu raportach nie ma żadnych oznak tej infekcji. Znaleziska MBAM nie powiązane z problemem, MBAM wykrył świństwa adware/PUP preintegrowane na laptopach Lenovo. Przy próbie rozwiązywania problemów zainstalowałeś dodatkowe programy i obecnie jest za dużo antywirusów, co powinno być obrazowane problemami z wydajnością i długim startem Windows. PS. Tylko poboczne działania: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj nadwyżkę antywirusów AVG lub ESET Smart Security; preintegrowane na Lenovo aplikacje wątpliwej konduity z grupy Pokki Host App Service, Lenovo Web Start, Start Menu; sponsorowany przez adware YTD Video Downloader 4.9.1. - Uruchom Program Install and Uninstall Troubleshooter i usuń za jego pomocą Metric Collection SDK 35. 2. Doczyszczanie wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC64~1.DLL => Brak pliku AppInit_DLLs-x32: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC32~1.DLL => Brak pliku HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-3820551375-3570498258-4154233937-1002\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe Task: {2AA71A0C-0D67-49F4-9326-7DDC11F7E8BA} - System32\Tasks\{B6A8654D-5B77-4C80-9886-6718572962F5} => pcalua.exe -a E:\start.exe -d E:\ Task: {65608733-5F8A-45BF-A1F5-E4E2C6C4B3F9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo) Task: {8623EECC-4F24-4ABC-BF69-4102B5C7FE38} - System32\Tasks\{63C94EBD-57EF-4B7E-8F79-8DB2A55E0C41} => pcalua.exe -a "C:\Program Files (x86)\OBS\uninstall.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" SearchScopes: HKU\S-1-5-21-3820551375-3570498258-4154233937-1002 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={AB099386-04FE-44F2-810A-95AF5F4F5685}&mid=9c368062d5c247cca1e5013773c6ed99-1d8099c7bdd18409115ea547ae7cac683ec11f9a&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-03-06 18:28:32&v=4.2.6.552&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Pliki dnsapi.dll naprawione. Natomiast z pośpiechu zapomniałam poinstruować, by skrypt zapisać w innym kodowaniu, bo zainfekowane skróty zawierają Cyrylicę. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\deb74e6ef302b553\Sрееd Diаl [FVD] - Nеw Таb Раgе, 3D, Synс.lnk C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\ffcf275a553b47cd\Gооglе Сhrоmе.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Czy nadal występuje problem z instalacją Zemany?

Tematyka zanikania dysku kwalifikuje się do działu Hardware a nie malware, przenoszę. Dostacz dane wymaane działem: KLIK.

Brak jakichkolwiek oznak infekcji. Temat przenoszę do właściwego działu Sieci. Dostarcz dane wymagane działem, orientowane sieciowo: KLIK. Nie jestem w stanie zagwarantować, że ktoś zajmie się tematem. Wskazujesz określone pory, czy kontaktowałeś się z dostawcą sieci?

Został tu wytypowany router jako przyczyna, czyli na każdym systemie należałoby wykonać polecenie ipconfig /flushdns czyszczące cache DNS. Niemniej dostarcz logi FRST z wszystkich systemów po kolei. Jeśli chodzi o tu widziany komputer, to prawie kończymy roboty: 1. Nie odinstalowałeś Adobe Reader 8.1.0 - Polish. To stara wersja z krytycznymi lukami i zagrożenie infekcjami szyfrującymi dane. Program należy odinstalować. Następnie, o ile potrzebny, zamontować najnowszą wersję listowaną w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\Users\Hero\Doctor Web RemoveDirectory: C:\Users\Hero\.oracle_jre_usage RemoveDirectory: C:\Users\Hero\AppData\Roaming\Sun Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Usuwałam foldery Mozilla od nieistniejącego tu Firefoxa, a FRST nadal wykrywa jego profil. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj plików (Search Files). Przedstaw wynikowy Search.txt. profiles.ini

Cóż, MPC musi zostać usunięty z poziomu środowiska zewnętrznego. Jest aktywny i chroni własne komponenty, a poprawną drogę jego deinstalacji odciąłeś poprzez zastosowanie AdwCleaner, który go częściowo uszkodził. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [355808 2016-08-31] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-31] (DotC United Inc) C:\Program Files (x86)\MPC Cleaner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop C:\Users\Expert\AppData\Roaming\MCorp C:\Users\Public\Desktop\MPC Desktop.lnk C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Windows\System32\DRIVERS\MPCKpt.sys Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST umieść na pendrive. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Wybierz opcję Entfernen (Fix). Na pendrive powstanie plik fixlog.txt. 2. Zaloguj się z powrotem do Windows i zrób nowy log FRST (bez Addition i Shortcut). Dołącz też fixlog.txt.

Podane tu logi wykazują nowe niekorzystne zmiany których nie było w pierwszym zestawie, tzn. pojawiła się infekcja systemowego pliku dnsapi.dll: 64-bitowe wystąpienie zainfekowane, a 32-bitowy plik całkowicie usunięty i obawiam się że to drugie to efekt Twojego nieumiejętnego czyszczenia. Tej infekcji nie było wcześniej. Poza tym nadal startują określone obiekty adware, a problem z fałszywym profilem w Chrome nierozwiązany (tu nie ma innej solucji niż wywalenie całego profilu). 1. Uruchom sfc /scannow zgodnie z instrukcją: KLIK. Poczekaj aż skan się ukończy. Fitrowanego raportu nie musisz tworzyć, wyniki SFC wydrukuję sobie poniżej w skrypcie FRST. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-423933081-1692630651-1468072290-1001\...\Run: [sSMaker2] => C:\Users\adaml\AppData\Roaming\ScreenMaker2\SSMaker.exe [592896 2016-10-06] (Logirfy Internatuonal) R2 Coerlasy; C:\Program Files (x86)\Ghoputain\procaentvlotCollector.dll [276992 2016-10-06] () [brak podpisu cyfrowego] S4 Viokdojvaf; C:\Users\adaml\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe [170496 2016-08-11] () [brak podpisu cyfrowego] S2 Citdhwa; "C:\Users\adaml\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S1 hgqrgpgj; \??\C:\WINDOWS\system32\drivers\hgqrgpgj.sys [X] S1 jsnrfkmo; \??\C:\WINDOWS\system32\drivers\jsnrfkmo.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S1 orqktznp; \??\C:\WINDOWS\system32\drivers\orqktznp.sys [X] S1 wlaeexmd; \??\C:\WINDOWS\system32\drivers\wlaeexmd.sys [X] S1 xnyjgutm; \??\C:\WINDOWS\system32\drivers\xnyjgutm.sys [X] Task: {4B09B2B0-FCDF-4195-AC41-A9C345F6B9D7} - System32\Tasks\{CB3E53BF-B013-432C-A033-8F192A0922D2} => Chrome.exe hxxp://ui.skype.com/ui/0/7.10.0.101/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {8116640F-0B5A-4A7F-852E-853E88A8210A} - System32\Tasks\Fakthertuverge Controls => C:\Program Files (x86)\Ghoputain\mple.exe [2016-10-06] (Glarysoft Ltd) Task: {E7E79FA1-994F-479B-8D9F-A79B648626F9} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku HKLM\...\StartupApproved\StartupFolder: => "Symfonia® PDF.lnk" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" GroupPolicy: Ograniczenia - Chrome DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Ghoputain C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android SDK Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio C:\TOSTACK C:\Users\adaml\AppData\Local\Drerterry C:\Users\adaml\AppData\Local\Tempfolder C:\Users\adaml\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\adaml\AppData\LocalLow\Company C:\Users\adaml\AppData\Roaming\BrowserModule C:\Users\adaml\AppData\Roaming\Ghasetion C:\Users\adaml\AppData\Roaming\Hemkajdoa C:\Users\adaml\AppData\Roaming\ScreenMaker2 C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\deb74e6ef302b553\Sрееd Diаl [FVD] - Nеw Таb Раgе, 3D, Synс.lnk C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\ffcf275a553b47cd\Gооglе Сhrоmе.lnk C:\Users\adaml\Desktop\yyyyy rozne\LCode.lnk C:\Users\adaml\Desktop\yyyyy rozne\VCDS-PL 15.7.lnk C:\WINDOWS\system32\sesb CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML, o ile jest cokolwiek do eksportowania. Ustawienia > karta Ustawienia > Osoby > usuń widoczną tam osobę, następnie Dodaj nową osobę i otwórz okno Chrome na nowym profilu, okna poprzedniego zamknij. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Raport USBFix nie wykazuje, by w root pendrive była jakaś infekcja. Czy masz na myśli, że pobiera się plik ccsetup522.zip? To jest wersja portable. Wyniki z CCleaner przejrzałam na szybko. Na pierwszy rzut oka większość zdaje się być do wyrzucenia. Zastanowiły mnie jednak pewne wpisy relatywne do instalacji Microsoftu, powiązane z figurującymi na liście zainstalowanych łatami IE8, IE8 jako takim, MSXML, .NET Framework. Czy Ty aby nie usuwałeś z dysku wcześniej na siłę jakiś elementów Microsoftu?

Nie odpowiedziałeś mi na pytania w kwestii aktualizacji MBAM. Aktualizacja w kwestii: U nich wyszło na jaw, że mieli zmodyfikowany plik HOSTS - u Ciebie nie ma to miejsca.

Kierowałam na skan sfc /scannow a nie narzędzie zewnętrzne SFCFix. To już pomińmy, wyniki SFCFix nie będę się różnić od skanu oryginalnego SFC. Uszkodzone pliki nadal i nie jest do rozwiązania w inny sposób niż ręczne przywracanie poprzednich plików. Podaj mi skan na wystąpienia tych plików. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj plików (Search Files). Przedstaw wynikowy Search.txt. fde.dll;fdeploy.dll;gpedit.dll;gptext.dll

W kwestii wyników SFC: 1. Poniższe rekordy spróbuj rozwiązać przy udziale SFCFix opisanego w moim artykule. Dostarcz log z narzędzia. 2016-10-02 15:15:48, Info CSI 000009e8 [SR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2016-10-02 15:15:49, Info CSI 00000a04 [SR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2. Jeśli chodzi o problem z naruszeniem plików gpedit, to podaj mi skan na wszystkie wystąpienia tych plików. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj plików (Search Files). Przedstaw wynikowy Search.txt. fde.dll;fdeploy.dll;gpedit.dll;gptext.dll Nie wiem gdzie leży problem, ale kwestia sterowników nie jest wykluczona. Próbowałeś je aktualizować?

1. Nie odinstalowałeś staroci Facebook Video Calling 3.1.0.521 - jakiś szczególny powód? I drobna poprawka końcowa. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-1663862098-2173623241-2597219904-1004 -> {E891FE45-33C8-4D81-A918-F81F03ED2214} URL = BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\AVG Security Toolbar Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Usuń z folderu E:\Z internetu FRST i jego logi. Następnie znajome kroki z DelFix i czyszczeniem folderów Przywracania: KLIK. To wszystko.

Zapomniałeś dodać nowe skany: PS. Ad "wielki" = jestem kobietą.