picasso

Wszystko zostało wykonane zgodnie z planem. Teraz uruchom AdwCleaner, wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

W opisie obsługi AdwCleaner jest podane, że log z czyszczenia ma oznaczenie C w nazwie. Zostawiam tylko ten log, duplikat z poprzedniego usuwam. AdwCleaner wykonał robotę. 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder FRST i GMER z narzędziami logami. Następnie zastosuj jeszcze DelFix. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log.

Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz pobrane skanery i ich logi. Nie wiem jaka jest przyczyna tego błędu, ale raczej wątpię w mnogość profilów jako istotę usterki. Ten błąd głównie jest kojarzony z antywirusami i malware. Tu malware nie zostało wykryte, a błąd występuje na dwóch komputerach. Czy na obu jest zainstalowany Avast?

System pomyślnie oczyszczony, infekcja nie jest już aktywna. Został pendrive: Oczywiście. Tu była usuwana tylko infekcja z systemu i kopia tego pliku stworzona przez Ciebie ręcznie. FRST nie skanuje dysków zewnętrznych. Stąd prosiłam o log z USBFix... Jak to? Nie widzisz opcji które są w opisie? Pokaż mi zrzut ekranu co uruchamiasz i co się pokazuje w IE. Skrypt jest jednorazowego użytku i nie powtórzy tych samych operacji. W drugim podejściu masz od góry do dołu "nie znaleziono". Fałszywy alarm. Należy wyłączyć antywirusa na czas pobierania i pracy z programem. W XP nie ma czynnych oznak tej infekcji. Do zrobienia byłyby drobne poboczne sprawy (jakieś odpadkowe wpisy), ale tym zajmę się potem.

Są tu liczne problemy. W systemie jest infekcja osadzona we WMI, zaszyty tam skrypt reinfekuje skróty przeglądarek w bliskich odstępach czasowych. Czyszczenie samych parametrów skrótów nic nie da, dopóki nie zostanie usunięty skrypt WMI. Ale to nie jest jedyna szkodliwa modyfikacja w systemie, jest tu też infekcja DNS, polityki Windows Defender i inne szkodniki. Operacje do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędne programy: Adobe AIR, Bing Bar, HP Customer Participation Program 14.0, Java 8 Update 40, Spybot - Search & Destroy. Ten Spybot to skaner który raczej nie wykrywa niż wykrywa bieżące zagrożenia... 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 WindowsDefender; C:\Windows\winrshost.exe [177152 2016-03-21] () [File not signed] HKLM\...\Providers\1nfd18e5: C:\ProgramData\FastPrinter\local64spl.dll [141824 2016-08-22] () HKLM\...\Providers\omvik5rc: C:\Program Files (x86)\\local64spl.dll [141824 2016-08-22] () HKLM\...\Winlogon: [userinit] wscript C:\Windows\run.vbs, HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1057106586-2403482295-1909535323-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1057106586-2403482295-1909535323-1001\...\Run: [Ovics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pati\AppData\Local\IRsoft\sqnxogrw.dll HKU\S-1-5-21-1057106586-2403482295-1909535323-1001\...\StartupApproved\Run: => "IRsoft" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe Task: {0D763D79-3CDE-41A2-993D-7CBA748B3ED2} - System32\Tasks\{C05415B8-B11A-485B-9375-CEDF83AF929D} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Zathdom\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Zathdom\uninstall.dat" -a uninstallme ED2D987A-9283-494C-ACD9-03C7A093A4CC DeviceId=f970916d-284d-235d-1251-46cc4fa05103 BarcodeId=51107003 ChannelId=3 DistributerName=APSFClickMeIn Task: {B87454B3-B62A-46D7-8464-3BA681215950} - System32\Tasks\Coerwcult Center => C:\Program Files (x86)\Crecult\Coerwcultcntdnk.exe Tcpip\..\Interfaces\{3CEC4DD1-E22F-4E53-834D-D81B87C9D26E}: [NameServer] 188.120.239.115,8.8.8.8 Tcpip\..\Interfaces\{EA4E11C0-8779-4BB5-92BE-763E2D2A5C51}: [NameServer] 188.120.239.115,8.8.8.8 GroupPolicy: Restriction - Windows Degender WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc SearchScopes: HKLM -> IELNKSRCH URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPg7lDWkjCrgzmorjNXrcNqlRkJQAPAeRWWrGrvcIGgASlAvdju6NGxd46zYN8hurJAu-o32-9yJpoOsFUmFTl9FOk4hcVsOXKuA-zceluDURbgHBaMXAs4IiDWVyiRvwVBZuasOTl1fgxk7AT_SLmmIEjRLjN-OIbIw_vD-5W&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope value is missing CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins AlternateDataStreams: C:\Users\Pati\Cookies:eLzXAceo1JHpJ06dclVDZj7KM [2324] C:\Program Files (x86)\local64spl.dll C:\Program Files (x86)\local64spl.dll.ini C:\ProgramData\FastPrinter C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Pati\AppData\Local\zaupT9tpAAXks C:\Users\Pati\AppData\Roaming\agent.dat C:\Users\Pati\AppData\Roaming\Installer.dat C:\Users\Pati\AppData\Roaming\Main.dat C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Ｇooｇle Ｃhroｍe.lnk C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ｇooｇle Ｃhroｍe.lnk C:\Windows\winrshost.exe CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Pati\AppData\Local CMD: dir /a C:\Users\Pati\AppData\LocalLow CMD: dir /a C:\Users\Pati\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome sfabrykowany profil. Należy usunąć cały profil. W Ustawienia > karta Ustawienia > Osoby sprawdź ile profilów widać. Jeśli tylko jeden, to opcją Dodaj osobę stwórz nowy, a bieżący skasuj. Jeśli jednak widać dwa profile, to skasuj bieżący, a na ten drugi zaloguj się. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Hmm, na Pulpicie? W Shortcut nie było takich skrótów, ale przypięte na Pasku i w Menu Start owszem. I przyjrzałam się jeszcze raz. Przez nieuwagę (śpieszyłam się przed opuszczeniem forum) nie dołączyłam w poprzednim skrypcie tego do usunięcia, więc dokasuj ten plik ręcznie: C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk AdwCleaner miałam zadać, ale dopiero po przetworzeniu zadań podanych powyżej. Widać w logu pewne obiekty których być nie powinno po uprzednim czyszczeniu. Nie, to nie są fałszywe alarmy. Chyba zmierzasz do tego, że AdwCleaner wykrył folder w profilach Firefox. Ja o tym mówiłam - adware sfabrykowało profile Firefox. Ten który był na samym początku widoczny w FRST (41A66E7E5EE1) właśnie skosiłam skryptem FRST, ale wg raportu AdwCleaner jest jeszcze jeden sfałszowany profil (CCACCBF1-7AB4-4CF5-B32D-668C686A539F). O ile tego nie zrobiłeś już, uruchom czyszczenie tego śmietnika w AdwCleaner i przedstaw log z usuwania. Dodatkowo, przez SHIFT+DEL (omija Kosz) dokasuj z dysku folder C:\WINDOWS\system32\log (to katalog raportów tego YAC). Tak. Operacja do przeprowadzenia przy udziale narzędzia Oczyszczania dysku: klik w ikonkę wyszukiwania na pasku zadań > wklep Oczyszczanie dysku > klik w Oczyść pliki systemowe > zaznacz Poprzednie instalacje systemu Windows (przy okazji sprawdź czy jest więcej do usuwania) > OK. To powinno uwolnić trochę miejsca. Pliki eula.10**.txt spokojnie na ubój. A te alfanumeryczne foldery to tymczasowe miejsce dla instalowanych łatek Windows Update. Po ukończeniu aktualizacji można je usunąć. Foldery zwykle są zablokowane przez uprawnienia i próba standardowego usunięcia zwraca "Odmowę dostępu". By je usunąć, możesz skonstruować skrypt do FRST zawierający polecenie: RemoveDirectory: ścieżka dostępu do folderu Dodatkowo, w logu było widać duży plik RAR liczący sobie ponad 700MB: 2013-06-20 19:59 - 2013-06-12 18:06 - 799825890 _____ () C:\Program Files\GTA San Andrea1s.rar Dalsza diagnostyka przy udziale SpaceSniffer (należy go uruchomić przez prawoklik i Uruchom jako administrator). Choć Windows 10 jest moim bieżącym systemem, nie koncentrowałam jakoś szczególnie swojej uwagi na telemetrii, posuwając się tylko do prostych konfiguracji podczas instalacji systemu (odznaczenie tego co się dało). Nie sprawdzałam żadnego z wyliczanych programów, czy jest to skuteczne a nie jakiś pic. Niektóre z trików mających rzekomo blokować śledzenie i tak nie działają, ale ja nie wiem co jest w wymienionych programach i nie potrafię udzielić rzetelnej odpowiedzi. Tak swoją drogą to telemetria lub podobny mechanizm jest w masie programów, w preinstalowanych softach OEM/laptopów (np. pod kryptonimem "poprawa jakości obsługi")... Problemem niestety jest, że ten rodzaj instalacji inicjuje ręcznie użytkownik... Pomocą tu może służyć program Unchecky automatycznie odznaczający pola sponsorów i inne miny w downloaderach. W przeglądarkach można dołożyć też np. uBlock Origin, który ma szerszą konfigurację niż standardowy "adblock". Popatrz na listę softu: KLIK.

Nie wiem dlaczego nie widziałeś komunikatu o translatorze, ale pierwszy Fixlog definitywnie pochodził z translatora - charakterystyczne spacje w ścieżkach i niektóre słowa zmienione z angielskich na polskie. Trzeci właśnie dostarczony Fixlog jest za to prawidłowy i wszystko zostało wykonane. Małe poprawki: 1. Otwórz Notatnik i wklej w nim: S4 Sunshinesvc; C:\Program Files (x86)\Corner Sunshine\sunshinesvc.dll [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Brak zmian w logu. Proszę otwórz Fixlog.txt i popatrz co zmajstrowałeś... Całkowicie zdewastowany skrypt do FRST. On wskazuje, że na stronie forum uruchomił Ci się translator Google i zaproponował "tłumaczenie strony" (ze względu na anglojęzyczne frazy w skrypcie). Niestety powierdziłeś i cały skrypt został zrujnowany translatorem. FRST nie przetworzy sztucznych ścieżek z dodanymi spacjami i innych artefaktów z translatora. Proszę powtórz wszystko od początku.

Czy poprawiła się wydajność systemu? Wszystko wygląda o wiele lepiej. Teraz już tylko doczyszczanie szczątków adware. Kolejna porcja: 1. W Google Chrome nadal widzę przekierowania nicesearches.com oraz rozszerzenie Avast Safe Price... Czy na pewno zresetowałeś ustawienia przeglądarki jak podałam? 2. Otwórz Notatnik i wklej w nim: BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Users\cech1\AppData\Roaming\Gadu-Gadu 10\_userdata\ggbho.2.dll [2009-12-21] (GG Network S.A.) DeleteKey: HKLM\SOFTWARE\Wow6432Node\Seteat DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\irc DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\mailto DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\mms DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\news DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\nntp DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\sms DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\smsto DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\urn DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\webcal DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Clients\StartMenuInternet\ChromeHTML DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\34991c9d_0 DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Seteat Reg: reg delete "HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Seteat\Application\chrome.exe" /f CMD: del /q "C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Battlelog Web Plugins RemoveDirectory: C:\Program Files (x86)\bla RemoveDirectory: C:\Program Files (x86)\BonanzaDeals RemoveDirectory: C:\Program Files (x86)\BonanzaDealsLive RemoveDirectory: C:\Program Files (x86)\Browser Tab Search by Ask RemoveDirectory: C:\Program Files (x86)\predm RemoveDirectory: C:\Program Files (x86)\Seteat RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\trolatunt RemoveDirectory: C:\Program Files (x86)\Common Files\YDP RemoveDirectory: C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} RemoveDirectory: C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} RemoveDirectory: C:\ProgramData\4winp4 RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\BonanzaDealsLive RemoveDirectory: C:\ProgramData\DAEMON Tools Lite RemoveDirectory: C:\ProgramData\DAEMON Tools Pro RemoveDirectory: C:\ProgramData\GG RemoveDirectory: C:\ProgramData\log RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Orbit RemoveDirectory: C:\ProgramData\PLAY ONLINE RemoveDirectory: C:\ProgramData\QwinpQ RemoveDirectory: C:\ProgramData\SafetyNut RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\ProgramData\TuneUp Software RemoveDirectory: C:\ProgramData\TwinpT RemoveDirectory: C:\ProgramData\ucktC RemoveDirectory: C:\Users\cech1\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 RemoveDirectory: C:\Users\cech1\AppData\Local\AION RemoveDirectory: C:\Users\cech1\AppData\Local\BonanzaDealsLive RemoveDirectory: C:\Users\cech1\AppData\Local\cache RemoveDirectory: C:\Users\cech1\AppData\Local\CEF RemoveDirectory: C:\Users\cech1\AppData\Local\Chromium RemoveDirectory: C:\Users\cech1\AppData\Local\Gameo RemoveDirectory: C:\Users\cech1\AppData\Local\genienext RemoveDirectory: C:\Users\cech1\AppData\Local\Lenovo RemoveDirectory: C:\Users\cech1\AppData\Local\Opera Software RemoveDirectory: C:\Users\cech1\AppData\Local\Seteat RemoveDirectory: C:\Users\cech1\AppData\Local\Skype RemoveDirectory: C:\Users\cech1\AppData\Local\WMTools Downloaded Files RemoveDirectory: C:\Users\cech1\AppData\LocalLow\Hyper Hippo Productions Ltd_ RemoveDirectory: C:\Users\cech1\AppData\LocalLow\Sun RemoveDirectory: C:\Users\cech1\AppData\LocalLow\Unity RemoveDirectory: C:\Users\cech1\AppData\Roaming\.minecraft RemoveDirectory: C:\Users\cech1\AppData\Roaming\C__Users_cech1_Downloads_Hide IP Easy v5.1.6.6 + Crack { LAtest 2012 Version } Mr.Perfect_Hide IP Easy v5.1.6.6 + Crack { LAtest 2012 Version } Mr.Perfect_Crack_HideIPEasy.exe RemoveDirectory: C:\Users\cech1\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I RemoveDirectory: C:\Users\cech1\AppData\Roaming\AION RemoveDirectory: C:\Users\cech1\AppData\Roaming\AVG RemoveDirectory: C:\Users\cech1\AppData\Roaming\DAEMON Tools Lite RemoveDirectory: C:\Users\cech1\AppData\Roaming\DAEMON Tools Pro RemoveDirectory: C:\Users\cech1\AppData\Roaming\DiskDefrag RemoveDirectory: C:\Users\cech1\AppData\Roaming\Gadu-Gadu 10 RemoveDirectory: C:\Users\cech1\AppData\Roaming\GG RemoveDirectory: C:\Users\cech1\AppData\Roaming\GlarySoft RemoveDirectory: C:\Users\cech1\AppData\Roaming\newnext.me RemoveDirectory: C:\Users\cech1\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1 RemoveDirectory: C:\Users\cech1\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\cech1\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\cech1\AppData\Roaming\Origin RemoveDirectory: C:\Users\cech1\AppData\Roaming\qksee RemoveDirectory: C:\Users\cech1\AppData\Roaming\sMedio RemoveDirectory: C:\Users\cech1\AppData\Roaming\TSv RemoveDirectory: C:\Users\cech1\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Users\cech1\AppData\Roaming\Uncheckit RemoveDirectory: C:\Users\cech1\AppData\Roaming\Unkn0wns Texture Installation Tool RemoveDirectory: C:\Users\cech1\AppData\Roaming\WinRAR RemoveDirectory: C:\Users\cech1\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\cech1\AppData\Roaming\WinZiper Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Adware wdarło się z "Asystenta pobierania" dobrychprogramów: KLIK. Świadczy o tym ten plik w Temp: C:\Users\natal\AppData\Local\Temp\ICReinstall_Free-Screen-Video-Recorder-33557-dp.exe W której przeglądarce jest zablokowana wyszukiwarka "mylucky" - Edge czy Google Chrome? Ja nie widzę standardowych polityk Chrome mogących to generować. A reset ustawień Edge dodam na wszelki wypadek. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [437248 2016-09-29] () [brak podpisu cyfrowego] SS4 Sunshinesvc; C:\Program Files (x86)\Corner Sunshine\sunshinesvc.dll [X] CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z" Edge HomeButtonPage: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKU\S-1-5-21-994918294-1171295045-2541185440-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKU\S-1-5-21-994918294-1171295045-2541185440-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> {5586413B-D1E6-4D81-85FC-A32CE0B6D275} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f HKU\S-1-5-21-994918294-1171295045-2541185440-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\natal\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-994918294-1171295045-2541185440-1001\...\Policies\Explorer: [] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\13027460.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\13027460.sys => ""="Driver" DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\uvconvrx_00000000 C:\ProgramData\corss C:\ProgramData\cosun C:\ProgramData\McAfee C:\ProgramData\UvConverter C:\ProgramData\Tencent C:\Users\natal\AppData\Local\Legness C:\Users\natal\AppData\Roaming\version2.xml C:\Users\natal\AppData\Roaming\Corner Sunshine C:\Users\Public\Documents\temp.dat C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\data.bin CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Block site marki wips.com, to w istocie spyware: KLIK. Dodatkowo też sponsoringowe rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy we wszystkich przeglądarkach ustąpił problem z "mylucky".

Fix FRST wykonany. AdwCleaner wykrył drobne odpadki adware. Uruchom go ponownie, zastosuj po kolei opcje Skanuj + Oczyść i dostarcz log wynikowy.

1. Myślałam, że przez USBFix. Wyglądają w logu USBFix w taki sam sposób, nie da się ich odróżnić, choć różnica jest zasadnicza (inna metoda blokowania). Usuwanie ich celowe i nadal aktualne. Te foldery powodują skutki uboczne na dyskach twardych (utrata etykiet). Poza tym, obecnie to przestarzałe i liche zabezpieczenie. Infekcje autorun.inf to przeszłość, gdyż łaty systemowe odcięły tę drogę. Bieżące infekcje stosują inne triki uruchomienione, np. sztuczki socjotechniczne: KLIK. 2. Hitman wykrył tylko drobne ciastka w Firefox oraz kopie FRST. Kopie FRST i tak są do usunięcia. Zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.

Problemem jest szkodliwy, ale już martwy skrót w starcie próbujący uruchamiać jakiś plik BAT: Startup: C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d1b95.lnk [2016-09-19] Shortcut: C:\Users\EWA\AppData\Local\1c468\fd575.lnk -> C:\Users\EWA\AppData\Local\1c468\3f6b1.bat (Brak pliku) Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj starą niebezpieczną wersję Java™ 6 Update 14. Następnie uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis po niechcianej instalacji Lenovo Metric Collection SDK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d1b95.lnk [2016-09-19] HKLM\...\Run: [] => [X] HKU\S-1-5-21-2592791242-802997460-2401244277-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => Brak pliku Task: {0E2C5447-7862-4283-AAB7-0D90D8B860BD} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.8.23\SymErr.exe Task: {13B87513-9C0C-4EB5-BED3-F9B505FD1DBE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {23E5E7E0-E789-4428-A524-3CB215FC9F10} - System32\Tasks\Driver Booster SkipUAC (EWA) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {2E52D03D-27A9-42BE-B8D8-BDB78D51CDF0} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.8.23\SymErr.exe Task: {372646E3-0835-479C-AD54-ED60558A795A} - System32\Tasks\{02270F72-E05B-421A-9850-25291D480653} => pcalua.exe -a C:\Games\ATC4\Uninstall_ATC4_RJTT.exe Task: {6F89BF9C-BAF2-45D2-9B50-E3C202FFC8B6} - System32\Tasks\Auslogics\Driver Updater\Start Driver Updater оn logon => C:\Program Files (x86)\Auslogics\Driver Updater\DriverUpdater.exe Task: {EA3B1581-2F63-43BC-A622-A5240B333042} - System32\Tasks\{A36A99E1-F151-48A4-ACE7-DA98E95DFD9B} => pcalua.exe -a C:\Users\EWA\Downloads\openvpn-2.1_rc15-install.exe -d C:\Users\EWA\Downloads DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Auslogics DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo S2 TeamViewer; "C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe" [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.1.0.9\Definitions\SDSDefs\20160615.023\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.1.0.9\Definitions\SDSDefs\20160615.023\EX64.SYS [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2592791242-802997460-2401244277-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2592791242-802997460-2401244277-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - => nie znaleziono C:\cookies.sqlite C:\Program Files (x86)\Lenovo C:\ProgramData\Lenovo C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ATC4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Toshiba\Rejestracja gwarancji firmy Toshiba.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator C:\Users\EWA\AppData\Local\1c468 C:\Users\EWA\AppData\Local\Lenovo C:\Users\EWA\AppData\Roaming\0dad7 C:\Users\EWA\AppData\Roaming\Microsoft\Excel\dicota%2003305225561915752396\dicota%2003.xls.lnk C:\Users\EWA\AppData\Roaming\Microsoft\Excel\Kopia%20euro%202016%2002%2001304980271548788618\Kopia%20euro%202016%2002%2001.xls.lnk C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OpenVPN C:\Windows\System32\Tasks\Auslogics C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Z GMER nie ma problemu i go usuwam. To wszystkie logi FRST są uszkodzone. Mówisz o Wordpad, proszę otwórz oryginalne pliki FRST utworzone na dysku w Notatniku (Otwórz za pomocą > Notatnik) i powiedz mi czy widzisz uszkodzenia czcionek.

Usuwam zawartość pliku DOC, to malware i Windows Defender natychmiast mi blokuje pobranie pliku. Logi z przestarzałego OTL nie są tu już w ogóle brane pod uwagę i też je usuwam. Obecnie nowoczesny skaner zastępujący w pełni OTL to FRST, posiada znacznie więcej możliwości niż OTL. Zabrakło za to trzeciego obowiązkowego raportu FRST Shortcut oraz GMER. Owszem, tu jest problem, ale nie chodzi o sam wscript.exe - to jest poprawny systemowy silnik uruchamiania skryptów VBS. Problemem jest uruchamiany przez ten silnik docelowy szkodliwy skrypt VBS zlokalizowany w folderze temp użytkownika: HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Run: [sysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db To infekcja WORM_FORBIX.A. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 20 ActiveX, Java SE Development Kit 8 Update 25 (zagrożenie infekcjami szyfrującymi dane) oraz lewy skaner-naciągacz SpyHunter 4. Następnie, niezależnie od tego czy deinstalacja SpyHunter się powiedzie zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Policies\Explorer: [] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird Task: {25BBDA8D-C74D-486C-95B0-BDDE285CB0AA} - System32\Tasks\{E7EFB6B2-B613-4374-91A5-AE0F8DE7F5B0} => pcalua.exe -a "F:\Instalki do gier\Gothic\gothic1_playerkit108k\gothic1_playerkit-1.08k\gothic1_playerkit-1.08k.exe" -d "F:\Instalki do gier\Gothic\gothic1_playerkit108k\gothic1_playerkit-1.08k" Task: {5632745C-3716-4DBB-906B-EBBD1E1273D0} - System32\Tasks\{BF03AFC3-95E7-4133-87D0-7EEFF4C6A1D3} => pcalua.exe -a "F:\Instalki do gier\Mount&amp;Blade Fire and Sword +MULTIPLAYER by iMortaluz\DirectX - install if the game doesn't work.exe" -d "F:\Instalki do gier\Mount&amp;Blade Fire and Sword +MULTIPLAYER by iMortaluz" Task: {5F1D028C-2B6A-4656-B777-5B78939C1108} - System32\Tasks\{A1BB2123-6A4F-488E-9384-ABD5C6C0739B} => pcalua.exe -a "F:\Programy instalacyjne\Huawei sterowniki\64280_slate-driver-s1082-win7-wwan3.5g-2.0.6.718\slate-driver-s1082-win7-wwan(3.5g)-2.0.6.718\DriverSetup.exe" -d "F:\Programy instalacyjne\Huawei sterowniki\64280_slate-driver-s1082-win7-wwan3.5g-2.0.6.718\slate-driver-s1082-win7-wwan(3.5g)-2.0.6.718" Task: {9C164DEE-2A4B-42CC-B60D-D7139F347519} - System32\Tasks\{56F32D16-EAA8-4BFA-9EA2-0766728E5FDD} => pcalua.exe -a "F:\Wonder pliki\Setup.exe" -d "F:\Wonder pliki" Task: {B1334EE1-7936-495D-84E5-E9FA60826902} - System32\Tasks\{23003EB3-106F-4E9C-8DB4-40B56E653C87} => pcalua.exe -a "F:\Programy instalacyjne\Sterowniki\sp65178 Sterownik oprogramowania Ralink Bluetooth.exe" -d "F:\Programy instalacyjne\Sterowniki" Task: {F1F19554-0B64-4214-8C62-0A0882539896} - System32\Tasks\{30B5BC00-99C7-4790-ABF2-61515936C33A} => pcalua.exe -a "F:\Programy instalacyjne\wmp11-windowsxp-x86-PL-PL.exe" -d "F:\Programy instalacyjne" Task: {F66A11B6-628D-4A73-994E-A086E39F802F} - System32\Tasks\{2D6DDA36-CDCC-4EDF-8099-0A75282CC5A3} => pcalua.exe -a C:\Users\Karol\Desktop\wmp11-windowsxp-x86-PL-PL.exe -d C:\Users\Karol\Desktop MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Karol\AppData\Local\Akamai\netsession_win.exe" S3 BtAudioBusSrv; System32\Drivers\BtAudioBus.sys [X] S3 BthL2caScoIfSrv; System32\Drivers\BtL2caScoIf.sys [X] S3 btUrbFilterDrv; System32\Drivers\IvtUrbBtFlt.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" DisableService: PLAY ONLINE. RunOuc CMD: del /q "C:\Users\Karol\Desktop\Manuel z pendrive.txt" Reg: reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 0x1 /f Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan) z zaznaczonym polem Shortcut oraz USBFix z opcji Listing przy podpiętym pendrive (o ile nie zostanie sformatowany ponownie). Dołącz też plik fixlog.txt.

Na początek proszę odpowiedz mi czy zawartość logów FRST przeklejona na wklej.org to taka która była oryginalnie w plikach na dysku? Wszystkie logi FRST mają skopane formatowanie (wygląda na ANSI zamiast UTF-8) oraz zepsute polskie czcionki. Jeśli masz oryginalne pliki, proszę otwórz je i potwierdź mi co widzisz. Jeśli oryginalne logi jednak wyglądają poprawnie, dostarcz je ponownie. Do wyczyszczenia będą odpadki po instalacjach adware/PUP, ale na razie proszę ustalmy co tu się dzieje z kodowaniem logów. Te skróty są puste i kierują na jakiś plik MP3 na dysku D: Shortcut: C:\Users\iwona\Desktop\Nowy folder\020z1b — skrĂłt.lnk -> D:\020z1b.mp3 (Brak pliku) Czy był podpinany taki dysk? Obecnie w logu nie widać takiego dysku, a wszystkie te skróty można skasować.

Tak, to zrozumiałam. Moim pytaniem jest czy zostały ponownie odinstalowane? Jeśli tak, dostarcz nowe raporty z FRST (bez Shortcut), to doczyszczę ewentualne resztki. Nie ma jednego określonego programu, który załatwia wszystko. Małe skanery awaryjne oraz skanery bez rezydentów są na tych listach: KLIK / KLIK. Czyli przykładowo Kaspersky Virus Removal Tool, ESET Online Scanner, Hitman Pro, MBAM.

1. Przez SHIFT+DEL (omija Kosz) dokasuj jeszcze te elementy z dysku: C:\ProgramData\encinfo.jpg C:\Users\Kuba i Michał\AppData\Roaming\.ACEStream C:\Users\Kuba i Michał\AppData\Roaming\ACEStream Natomiast ten drugi C:\ProgramData\encfiles.log zawiera listę zakodowanych plików, więc sobie porównaj z tym co się stało na dysku. Zakodowane pliki zachowaj na wypadek gdyby w przyszłości pojawił się jakiś ratunek. 2. Uruchom DelFix. GMER i RansomNoteCleaner dokasuj ręcznie. 3. Zabezpieczenia przed infekcjami szyfrującymi dane. Lista programów zabezpieczających tutaj: KLIK. Pod kątem infekcji szyfrujących dane: Niezbędne też wykonywanie kopii zapasowych cennych danych, a kopie umieszczane na odizolowanym dysku podłączanym tylko tymczasowo. Infekcje szyfrujące dane atakują każdy dostępny dysk lokalny, wymienny i sieciowy.

Ten "rootkit" w GMER to sterownik dtsoftbus01.sys od instalacji DAEMON Tools Lite. Programu nie widzę na liście zainstalowanych, ani tego sterownika. Log musiał być robiony przed jego deinstalacją. Natomiast owszem mamy tu niezły bajzel będący konsekwencją instalacji adware, w procesach liczne obiekty adware oraz szkodliwy skaner YAC, co jest przypuszczalną przyczyną spowolnienia. Ponadto, problemy w przeglądarkach: jako domyślna przeglądarka jest ustawiony fałszywy klon "Google Chrome" pod nazwą Seteat, a w Firefox jest ustawiony jako domyślny profil sfabrykowany przez adware. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe Reader 9.5.0 - Polish, HP Customer Participation Program 14.0, PC Clean 2005, Qtrax Player, Shared C Run-time for x64, Uncheckit, YAC(Yet Another Cleaner!) - Uruchom Program Install and Uninstall Troubleshooter i usuń Metric Collection SDK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\cech1\AppData\Roaming\setup1\TSvr.exe [205520 2016-09-18] (Trend Corp.) R2 InterHop; C:\Program Files (x86)\InterHop\InterHop.exe [444648 2016-09-18] () S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] () R2 yahoochrometechnology; C:\ProgramData\yahoochrome\desktop25.exe [236768 2016-05-02] (YahooChrome) R1 {0c0bb4a8-45a4-4685-9c1d-08d98af4b926}Gw64; C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}Gw64.sys [61112 2014-06-23] (StdLib) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-13] () S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106552 2013-02-19] (McAfee, Inc.) S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 GPU-Z; \??\C:\Users\cech1\AppData\Local\Temp\GPU-Z.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X] Task: {0962EE7A-1594-4E44-BFA6-09B3F443062E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {15465625-8690-43F7-B425-400D077EFD01} - System32\Tasks\UncheckitTaskMN => C:\Program Files (x86)\Uncheckit\cktSvc.exe [2016-04-28] (EVANGEL TECHNOLOGY (HK) LIMITED) Task: {2A009335-2277-45E9-B4BA-BD068F6ABD65} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2E5DE81D-8333-4CB5-822E-CCCCB39B4E78} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {38E5D729-C8EE-4598-A350-D58DA84C8E0E} - System32\Tasks\QtraxPlayer => 2139035685.portal.qtrax.com Task: {53C93E9C-3C7F-4CCE-AF9C-38EC34D1EB9F} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) Task: {5C564755-41E9-424E-84F8-706C1210595D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {61F6EE9B-D8C0-43D6-816E-78EFDB476A4B} - System32\Tasks\{26832AD1-980D-41AC-8855-FA0CFC37756D} => pcalua.exe -a E:\SimsCS_Uninst.exe -d E:\ Task: {6E713946-15B4-429F-B12D-60A1B92AA53B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7D6C00D2-43B5-43E5-B618-63366E5747FB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {8C75DB6A-79F0-43F5-A435-174F03A7AE58} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {95A96AD7-CEB6-44D4-B925-0EFE23746CB8} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () Task: {A3A03DE6-F67F-461C-8672-9D35AC4CF632} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A8FEBF8F-BC13-4645-81B8-C108D458167B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {ABE2CBCC-0F91-4A6F-B9A9-C809E7A83415} - System32\Tasks\{072B3995-A951-4D89-A128-E878F206BB93} => pcalua.exe -a "C:\Program Files (x86)\Binboy\EdHTMLv5.0\EdHTML.exe" -d "C:\Program Files (x86)\Binboy\EdHTMLv5.0" Task: {AD60AC76-DD38-492D-BDF9-3965D0155FB3} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\1CFBF412E68A59679C3BE57838603880\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {B46DFFDC-BB0C-48E4-88D2-01CEDBAEA05B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D798EEDB-D949-48E5-96F8-1ABD6174F476} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {F6E9AE48-105A-476A-91A6-E5DA61894D79} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {FC33DBE7-C910-4F1C-B383-007FD7E6ABC7} - System32\Tasks\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser => Rundll32.exe generaltel.dll,RunTelemetryW Task: C:\WINDOWS\Tasks\Browser Updater Task(Core).job => C:\Program Files (x86)\TXQQBrowser\Update\1CFBF412E68A59679C3BE57838603880\Update\BrowserUpdate.exe IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe GroupPolicy: Ograniczenia HKLM-x32\...\Run: [fst_pl_146] => [X] HKLM-x32\...\Run: [Raptr] => "C:\Program Files (x86)\Raptr\raptrstub.exe" --startup ShortcutWithArgument: C:\Users\cech1\Desktop\Lubię\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.nuesearch.com/?type=sc&ts=1472469252&z=bf942921031c2f1064411bagaz7meo7z5q4t2o0e7e&from=wpm0829&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\Users\cech1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1472469252&z=bf942921031c2f1064411bagaz7meo7z5q4t2o0e7e&from=wpm0829&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1474189066&z=78370a9db7dc3e7be16619dg2z0maz3g3b9tce5q8o&from=wpm0912&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.nuesearch.com/?type=sc&ts=1474189066&z=78370a9db7dc3e7be16619dg2z0maz3g3b9tce5q8o&from=wpm0912&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1472469252&z=bf942921031c2f1064411bagaz7meo7z5q4t2o0e7e&from=wpm0829&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS Edge HomeButtonPage: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.msn.com/?PC=AV01 HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=209&systemid=488&v=a12834-385&apn_uid=0559871564264374&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=209&systemid=488&v=a12834-385&apn_uid=0559871564264374&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku CustomCLSID: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\cech1\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku FF Plugin: @mcafee.com/MSC,version=10 -> C:\Program Files\mcafee\msc\npMcSnFFPl64.dll [brak pliku] FF Plugin-x32: @mcafee.com/MSC,version=10 -> C:\Program Files (x86)\McAfee\msc\npMcSnFFPl.dll [brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\AION DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Greenshot Packages DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Visual C++ Packages DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Uninstall ior DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f C:\END C:\Program Files (x86)\eBay C:\Program Files (x86)\InterHop C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Opera C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\SFK C:\Program Files (x86)\TXQQBrowser C:\Program Files (x86)\Uncheckit C:\Program Files (x86)\WinSaber C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinRAR C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\C__Users_cech1_Downloads_Hide IP Easy v5.1.6.6 + Crack { LAtest 2012 Version } Mr.Perfect_Hide IP Easy v5.1.6.6 + Crack { LAtest 2012 Version } Mr.Perfect_Crack_HideIPEasy.exe C:\ProgramData\3winp3 C:\ProgramData\ChelfNotify C:\ProgramData\OnlineUpdate C:\ProgramData\Origin C:\ProgramData\Seteat C:\ProgramData\Skype C:\ProgramData\Uncheckit C:\ProgramData\yahoochrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Play C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\To jest chemia – zakres podstawowy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uncheckit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\cech1\AppData\Local\{10732D89-18D7-4531-A002-9369B664F11E} C:\Users\cech1\AppData\Local\{C6A41083-4899-430D-92D4-85B4EB6E949C} C:\Users\cech1\AppData\Local\{D0C81687-B1CE-498D-87AD-F1C826B5AB06} C:\Users\cech1\AppData\Local\GG C:\Users\cech1\AppData\Local\Mobogenie C:\Users\cech1\AppData\Local\OpenFM C:\Users\cech1\AppData\Roaming\apachesrvin.vbs C:\Users\cech1\AppData\Roaming\die.bat C:\Users\cech1\AppData\Roaming\Minecraft 1.5 NonPremium.rar C:\Users\cech1\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk C:\Users\cech1\AppData\Roaming\setup1 C:\Users\cech1\AppData\Roaming\Skype C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\AION.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\OpenFM.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\cech1\Desktop\Ale fajny\Play Just Cause 2.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\DAEMON Tools Lite.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\GG.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\OpenFM.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\Opera.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\To jest chemia – zakres podstawowy.lnk C:\Users\cech1\Desktop\Lubię\*.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\DAEMON Tools Pro.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\EA Download Manager.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\eBay.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\Installer Microsoft Visual C++ 2008 Express Edition with SP1.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\Mobogenie.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\OpenFM.lnk C:\Users\cech1\Favorites\eBay.url C:\Users\Default\Favorites\eBay.url C:\Users\Public\Documents\report1.dat C:\Windows\system32\CECH_cech1_HistoryPrediction.bin C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}Gw64.sys C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\System32\drivers\HipShieldK.sys C:\Windows\System32\drivers\mferkdet.sys C:\Windows\System32\Tasks\Lenovo C:\WINDOWS\SysWOW64\_SSpm CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\cech1\AppData\Local CMD: dir /a C:\Users\cech1\AppData\LocalLow CMD: dir /a C:\Users\cech1\AppData\Roaming RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Wyeksportuj zakładki z obecnego profilu, o ile jest co eksportować. Klawisz z flagą Windows + R > w polu Uruchom wklej komendę "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p i ENTER. Załóż nowy profil, a pozostałe całkowicie skasuj. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowane rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw jako domyślną przeglądarkę tymczasowo Firefox lub Internet Explorer. Na razie nie da się ustawić Google Chrome, dopóki nie zostaną wyczyszczone wpisy klona Seteat z rejestru. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Seteat;Tencent

Na pendrive nic ciekawego, tylko ten ukryty plik H:\desktop.ini wygląda na pochodną infekcji, ale nie jest on ważny i nic nie robi (zero bajtów), a poza tym to bootowalny pen który i tak będziesz przerabiać. 1. Ostatni skrypt do FRST usuwający odpadkowe katalogi po deinstalacjach oraz immunizację autorun.inf z dysków twardych dorobioną przez USBFix (to ma skutki uboczne na lokalnych dyskach). Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Lenovo RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\autorun.inf RemoveDirectory: D:\autorun.inf RemoveDirectory: E:\autorun.inf Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż kopie FRST (fałszywy alarm), dostarcz log.

To nie jest malware w rozumieniu aktywności charakterystycznej dla trojanów. To po prostu niepożądane rozszerzenie typu adware, tzn. produkujące reklamy i przekierowania w przeglądarce. Wg raportu siedziało w systemie od zeszłego roku (data instalacji 2015-11-28). Informacyjnie: AdBlock został po cichu przejęty przez Adblock Plus i od wersji 3.0 jeździ na silniku Adblock Plus, a konsekwencją było pojawianie się w nim tej felernej listy "akceptowalnych reklam" (domyślnie zaznaczone). Tak, uBlock Origin jest definitywnie polecany zamiast Adblock Plus i jego klonów. Jeśli chodzi o zgłoszony problem: czy to kółko się kręci na konkretnych stronach, czy po instalacji uBlock Origin modyfikowałeś jego ustawienia domyślne (np. zaznaczyłeś hurtem wszystkie filtry, co obciążyłoby przeglądarkę), czy na pewno efekt jest powiązany z tą instalacją?

Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ CHR HomePage: Default -> hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ" DeleteKey: HKLM\SOFTWARE\Wow6432Node\Bossseed DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Bossseed DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\cc6d5ee0_0 DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\eeaf0632_0 Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\AVAST Software\Avast\PUB-Removed" /v 1d2164d87635cc3 /f Reg: reg delete "HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Bossseed\Application\chrome.exe" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Konrad\AppData\Local\Bossseed RemoveDirectory: C:\Users\Konrad\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Cóż, dokładnie tak jak w poprzednich wypadkach nie ma tu żadnych śladów infekcji. Problemem jest IP i należy wymusić jego zmianę. PS. Odinstaluj starszą wersję Java 8 Update 66. I możesz uruchomić kosmetyczny skrypt usuwający drobnostki i czyszczący Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia S4 sptd2; System32\Drivers\sptd2.sys [X] HKLM-x32\...\Run: [FAStartup] => [X] HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKU\S-1-5-21-598763898-964273417-681385867-1001\...\StartupApproved\Run: => "OneDrive" HKU\S-1-5-21-598763898-964273417-681385867-1001\...\StartupApproved\Run: => "Advanced SystemCare 9" ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku CustomCLSID: HKU\S-1-5-21-598763898-964273417-681385867-1001_Classes\CLSID\{71DCE5D6-4B57-496B-AC21-CD5B54EB93FD}\localserver32 -> C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileCoAuth.exe => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eushully C:\Users\Bartlomiej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TEATIME C:\Users\Bartlomiej\Desktop\ReiEditAA2.lnk C:\Users\Bartlomiej\Desktop\らぶギア.lnk C:\Users\Bartlomiej\Desktop\らぶギアスクリーンショットフォルダ.lnk C:\Users\Bartlomiej\Desktop\らぶギア取扱説明書.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Coś mało tych plików "Files encrypted.txt" skasowanych. Czy na pewno nigdzie ich już nie widzisz? I tu więcej nic nie jestem w stanie zrobić, poza pobocznymi działaniami. Doczyść inne elementy oraz wpisy odpadkowe: 1. Deinstalacje: - Odinstaluj Ace Stream Media 3.1.7 (zintegrowany moduł reklamodawczy uruchamiany po predefiniowanym czasie) oraz !xSpeedPro 1.4 (archaiczny tweaker pod stare systemy). - W Google Chrome odmontuj rozszerzenia Hola - Free VPN, Ad;Block Plus. Hola powiązana z niepożądanymi aktywnościami: KLIK / KLIK. Natomiast to drugie rozszerzenie jest podejrzane i zostało usunięte z Chrome Web Store. - W Firefox sugeruję usunąć Youtube Downloader - 4K Download. To rozszerzenie jest znane z niepożądanych aktywności: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia Startup: C:\Users\Kuba i Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-28] () CustomCLSID: HKU\S-1-5-21-2670859206-3087183214-2171256421-1000_Classes\CLSID\{41B89628-3BF9-D1E3-385B-EC1E477BD28F}\InprocServer32 -> C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat\playerdata\a00bb2dd-3847-3b06-85a5-bdf0c869b306.txt () CustomCLSID: HKU\S-1-5-21-2670859206-3087183214-2171256421-1000_Classes\CLSID\{9C77117E-049E-1C48-2950-AB001B022A89}\InprocServer32 -> C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat-\data\Mineshaft.inf () FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll [brak pliku] FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll [brak pliku] Task: {01B82FEB-2FEA-4FDB-A1FE-01A926B06B66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {07CE7B31-C7C1-43B4-B482-0AA05F953FDD} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {1134E9A8-8395-401C-B872-202A5894F173} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {143DA133-667F-4AAD-8C93-7FC742D6731A} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {17A9195F-C078-48A7-AE95-916B24C41AF3} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {1AA648AD-D8CF-4759-8400-3B042AA8C0C1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {1D6A95B1-CEEC-4DA8-A1C8-D1F2E2DB04E7} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {24A522B9-26BA-4E94-B918-1810F2274D3D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {41A84CA8-E449-4BCA-B816-F18C62F256EA} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {44A89FCF-8DF1-45B7-ACFB-1E33FF61F8F0} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {44E790EF-4BA6-4C30-B738-C5F5C2083B66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {487A6CE3-1B91-4364-A961-3044C6EB39A8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {53F3150E-44D5-4D61-8F0B-3B69317295D2} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {56375E71-59CE-4F87-93CC-A96F1524607F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {61ECBEC7-7149-47B7-9E29-EC31ADE8B256} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {6489B22C-8840-4016-B8C3-FD979BC60FCF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {69FCE008-65E2-4702-B071-6880EBF38A3B} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {6A0C031B-EFE5-4451-B80B-FA1B4701AC0B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6B77198A-B7C1-4CA3-8E13-EE3E855691BE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7D67E329-0850-4D81-8B54-AE9C13FCF306} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {85533619-3A11-4D9C-BEBB-E7E6641C830D} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {8A5F7929-44F2-424F-AD21-2FB17101DCD2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8C57B184-E0AC-47B1-A8B2-68C0DB6FF468} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {97043218-AA71-478C-95A3-21B323980277} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {9E18ED44-5AC6-42D6-AAD6-E38D1AE0EB06} - System32\Tasks\{539563CC-23A7-404B-BAE5-E9D5491D82A4} => pcalua.exe -a "D:\Program Files (x86)\Deluxe Ski Jump 4\Setup.exe" -d "D:\Program Files (x86)\Deluxe Ski Jump 4" Task: {A8420187-73E0-420F-A947-E552CF4FF391} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {AC3F17C5-5D79-458B-ADAD-5FB9C2C3C237} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BAE9E25D-401A-4A58-9F2A-B76ED5F04221} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {BE639ED8-6B8A-450C-8F83-2B9C4ABEFFD3} - System32\Tasks\{AC7EEBDE-C856-4D68-B400-9E09F7FE87D4} => pcalua.exe -a "C:\Users\Kuba i Michał\Downloads\ME(v9.5.15.1730_1.5M)\setup.exe" -d "C:\Users\Kuba i Michał\Downloads\ME(v9.5.15.1730_1.5M)" Task: {D002887D-A383-4099-A7FB-61BC80E2D625} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {D35A1C42-F74D-44BA-8444-BDC9B98B0383} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D9A832D0-AAE4-4F83-B6E4-4A8636D05AF4} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DAFD5D86-200A-4817-A8FD-BC115B4E86CD} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {DC56DAA5-BC1C-4846-AA96-CDC6C7FF7D3B} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {DEDE361C-067B-4786-A542-9C0C552BC85B} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {E58830CB-6465-47E7-B74F-15B2C30A7259} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {E87A98B3-F18D-4475-8675-342E7CEA4A28} - System32\Tasks\{2F64E152-E0AD-41F3-857F-9861B8B0D51D} => pcalua.exe -a "C:\Program Files (x86)\DS3_service\ScpService.exe" -d "C:\Program Files (x86)\DS3_service" Task: {F7AC6972-47A9-42D8-B4FB-DD7168A4FCCD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {F9E8EA9C-8D60-4255-9A31-5BB1B5B36871} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {FD879963-45A1-4658-9161-DEEF0DAB432B} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center HKU\S-1-5-21-2670859206-3087183214-2171256421-1000\...\StartupApproved\Run: => "AceStream" R3 gkernel; C:\Users\Kuba i Michał\AppData\Local\Temp\gkernel.sys [44544 2016-09-28] () [brak podpisu cyfrowego] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath CMD: netsh advfirewall reset CMD: type C:\ProgramData\uid.txt C:\ProgramData\uid.txt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Kuba\Desktop\Fallout 4.lnk C:\Users\Kuba i Michał\AppData\Roaming\uid.txt C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat\playerdata\a00bb2dd-3847-3b06-85a5-bdf0c869b306.txt C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat-\data\Mineshaft.inf C:\Users\Kuba i Michał\Desktop\decryptor.exe C:\Users\Kuba i Michał\Desktop\uid.txt C:\Users\Kuba i Michał\Desktop\Battlefield 4.lnk C:\Users\Kuba i Michał\Documents\decryptor.exe C:\Users\Kuba i Michał\Documents\uid.txt C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zdaje się być zrobione. Temat więc zamykam. W przypadku podejrzanych objawów lub ujawnienia nowych konsekwencji tej infekcji poproś o otworzenie tematu. Jeśli pojawią się jakieś nowe informacje, oczywiście dostarczę. Na razie "ciemno wszędzie, głucho wszędzie".