picasso

Infekcja grasuje, ale nie pomogą żadne skanery uruchomione spod Windows. Infekcja nie jest w Windows tylko w routerze. Poniższy adres IP pobierany z routera jest holenderski: Tcpip\Parameters: [DhcpNameServer] 217.12.218.49 8.8.8.8 Tcpip\..\Interfaces\{fb4685f4-80c9-4612-9582-c09c9b33d3c0}: [DhcpNameServer] 217.12.218.49 8.8.8.8 Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony działania poboczne: 2. Odinstaluj stare wersje: Adobe Flash Player 22 NPAPI, Apple Software Update, Java 8 Update 45, Obsługa programów Apple, Opera Stable 31.0.1889.99, QuickTime 7, Shared C Run-time for x64 (odpadek po odinstalowanym McAfee). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1332F807-AC5B-483F-AFE4-70579AE9F0F5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {13FC41ED-F771-4E0E-BFCA-E86ACEEDA1D1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {360F2EBD-5242-43FB-8950-573D85690531} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {3987D85B-9932-498A-8301-3591BE23BFDE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4396236F-33D2-4D98-9732-A0592CAA3F0A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {99E02C5D-1804-4DA4-9643-4069FB290B0A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {B245FC28-BBB5-485F-B1FC-F30D9C23BCA9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D3831AFA-97A2-429E-AA04-B17BC581203F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {DB090064-95BA-481B-A4CA-052A8EDD2D43} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {DC187BC8-57AB-407A-BB6F-7FFADA566A76} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DE8D75ED-823C-4820-A8B5-4FAC2F4F0C0A} - System32\Tasks\UMonitor Task => C:\WINDOWS\system32\UMonit64.exe Task: {E1A9FF36-8CF0-4B67-B78A-D73C3700EA66} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E81011DE-FF46-4753-A696-92CBB0E6F323} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku U0 aswVmm; Brak ImagePath HKLM\...\Run: [RtsCM] => RTSCM64.EXE HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BHO-x32: Brak nazwy -> {1017A80C-6F09-4548-A84D-EDD6AC9525F0} -> Brak pliku BHO-x32: Brak nazwy -> {D2C5E510-BE6D-42CC-9F61-E4F939078474} -> Brak pliku SearchScopes: HKU\S-1-5-21-1242821795-1179061920-3428311120-1002 -> {D89B578C-5E3F-4454-9A05-4FA1ABAC46BB} URL = DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\AVAST Software C:\ProgramData\AVAST Software C:\Users\Lapek\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\Lapek\AppData\Local\Google\Chrome\User Data\System Profile C:\WINDOWS\system32\Drivers\aswsnx.sys.147379071746807 CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj jaki model routera jest w rękach.

Czyszczenie z adware/PUP pomyślnie zakończone. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. GMER dokasuj ręcznie. Sprawdź czy na czystym rozruchu jest jakaś różnica: KLIK.

Owszem, bieda z miejscem na dysku i to podstawowa przyczyna na powolnego działania. Poza tym, nie za dużo tu widać, tylko dwa niepożądane toolbary oraz stare programy wliczając Avast. Czyli: 1. Odinstaluj śmieci i starocie: Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.12) - Polish, Ask Toolbar, Avast Free Antivirus, DAEMON Tools Toolbar, Java 8 Update 31, Java™ 6 Update 22. Reszta aplikacji pod ocenę indywidualną, nie wiem z czego korzysta użytkownik. 2. W Chrome odmontuj wszystkie rozszerzenia od Avast oraz adblocki. Zastąp je setem uBlock Origin. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.57\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.69\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.79\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.30.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.29.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.149\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.29.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.28.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.65\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2378602560-3276449749-415837472-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\MG\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku Toolbar: HKU\S-1-5-21-2378602560-3276449749-415837472-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku SearchScopes: HKU\S-1-5-21-2378602560-3276449749-415837472-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search?q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\found.000 RemoveDirectory: C:\Program Files\AskPartnerNetwork RemoveDirectory: C:\ProgramData\AskPartnerNetwork RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\MG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome CMD: del /q "C:\Program Files\*.tmp" CMD: del /q "C:\Users\MG\AppData\Local\{D9C236FA-60FC-40F3-A2E5-54E78AB55F42}" CMD: del /q "C:\Users\MG\Desktop\skróty\Adobe Reader 9.lnk" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition bez Shortcut. Dołącz też plik fixlog.txt.

1. To rozbudowany wielofunkcyjny pakiet, więc zalecana oszczędność, tzn. nie dodawanie już innych złożonych instalacji. Możesz się za to zainteresować mniejszymi dodatkami do przeglądarek (np. uBlock Origin). Ważnym jest wyposażenie się w system kopii zapasowych danych. 2. Do tego celu służy McAfee Consumer Product Removal Tool. Wejdź w Tryb awaryjny * i skorzystaj z narzędzia. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny.

Log Search Registry uległ redukcji, więc przestawienie domyślnej przeglądarki wykonane przy tym podejściu. MBAM widzi tylko dwa odpadkowe klucze i nie są to wpisy SeaBlue oraz zip fakturki. Doczyszczanie: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\StartupApproved\Run: => "BingSvc" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder05 DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\{EB52F1AB-3C2B-424F-9794-833C687025CF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Seablue DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\irc DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\mailto DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\MMS DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\news DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\nntp DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\sms DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\smsto DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\tel DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\urn DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\webcal DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Clients\StartMenuInternet\ChromeHTML DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Seablue DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\25c87c77_0 DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ff7e8424_0 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\ProgramData\Seablue\protect\protect.exe" /f Reg: reg delete "HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe" /f Reg: reg delete "HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Seablue\Seablue\chrome.exe" /f CMD: del /q C:\Users\Hubert\Desktop\pobierz_Fakturka_V1.46.zip RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Hubert\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Zresetuj system. Teraz Google Chrome powinno być ustawialne jako domyślna przeglądarka.

Nie ma oznak wykonania tych akcji: 1. Nadal domyślną przeglądarką jest falsyfikat Chrome: Internet Explorer Wersja 11 (Domyślna przeglądarka: "C:\Program Files (x86)\Seablue\Seablue\chrome.exe" "%1") Proszę ustaw co należy, a po tym ponów wyszukiwanie w rejestrze i dostarcz nowy SearchReg.txt. 2. W Chrome nadal strony startowe adware.

Na przyszłość: trzymaj się proszę konfiguracji skanu FRST rozpisanej w przyklejonym. Opcje Lista BCD, MD5 sterowników, Pliki z 90-dni nie miały być zaznaczone. To skany pod specyficzne i od dawna nie występujące tu infekcje, a produkują masę zbędnych danych. W systemie widać zmienione adresy DNS na rosyjskie oraz drobne elementy odpadkowe różnych infekcji, zaś błąd powoduje wpis Run. Ta konkretna infekcja Infekcja "Ujdmedia" wygląda na nabytą na skutek matactw z aktywacją Windows. W systemie m.in. te obiekty: KLIK. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na widoczne tam połączenie > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj obiekty cracków: KMSnano 24.1 + TAP-Windows 9.21.2. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2889296390-1449361320-2100285011-1001\...\Run: [Ennztion] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Grzesiek\AppData\Local\Ujdmedia\steamCtrlShell64.dll HKLM-x32\...\Run: [] => [X] Task: {4DF666D8-D886-43B8-8E06-76B498AABECD} - System32\Tasks\PPI Update => "hxxp://dazwindowsapps.xyz/download/index.php?mn=9995" Task: {A7B18C6C-4D5C-4328-94DB-446935013788} - System32\Tasks\{A5DAA373-27D1-45F2-9AB6-E7CA1FA8EF4D} => pcalua.exe -a D:\Gry\Syberia2\Syberia2.exe -d C:\Users\Grzesiek\Desktop Task: {F8EA563E-363D-4892-A877-6E44F33D5253} - System32\Tasks\SmartShare => C:\Program Files (x86)\LG Software\LG Smart Share\SmartShareStart.exe AlternateDataStreams: C:\WINDOWS\system32\Drivers\rockusb.sys:$CmdZnID [26] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\70C6D100-1474564367-81E1-28C8-3085A916A760 C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Webitar Production Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\Users\Grzesiek\AppData\Local\Temptable.xml C:\Users\Grzesiek\AppData\Roaming\article.appendix.title.properties.xml C:\Users\Grzesiek\AppData\Roaming\dsc_firewall_tile.png C:\Users\Grzesiek\AppData\Roaming\Fighter5 Flight Path.mesh C:\Users\Grzesiek\AppData\Roaming\WearStoplight.8 C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SolidWorks 2012 x64 Edition.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Grzesiek\Downloads\Microsoft Toolkit 2.5.3 Final C:\Users\Grzesiek\Downloads\Microsoft Toolkit 2.5.3 Final.rar C:\TOSTACK C:\Windows\KMSServerService C:\Windows\SysWOW64\ssprs.dll CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zostały usunięte określone skróty Google Chrome zawierające zamienniki Unicode w nazwach. Przypnij do Paska zadań nowy skrót. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Tak, zgadza się. Dlatego jakiś czas temu wstawiłam ten tekst w opisie DelFix: "Pobieranie narzędzia mogą blokować określone antywirusy. W takim przypadku należy wyłączyć osłonę antywirusową na czas pobierania i operacji z narzędziem".

Temat przenoszę do działu Windows, problemy nie są wynikiem infekcji (pomijając pierwszy punkt), odczyt GMER notujący rootkity do zignorowania (to komponenty systemu). W systemie jest zainstalowany lewy skaner ByteFence Anti-Malware i to może być przypuszczalna przyczyna. Odinstaluj go i zresetuj system, a po tym zrób nowe logi FRST. Instalowany m.in. z "Asystenta pobierania" z dobrychprogramów: KLIK. Log sugeruje, że nabyłeś to właśnie z tego serwisu, bo w systemie jeszcze szczątki grupy charakterystycznej dla "Asystenta pobierania", czyli PriceFountain i Corner Sunshine. Doczyszczanie tego gdy otrzymam nowe logi po deinstalacji Bytefence. Log wyraźnie wskazuje, że co dopiero była duża aktualizacja Windows (na dysku katalog C:\Windows.old) i została zainstalowana tzw. Rocznicowa aktualizacja (Wersja 1607): Platform: Windows 10 Education Wersja 1607 (X64) Język: Polski (Polska) Ta edycja systemu zmienia wygląd Menu Start. Jest pionowa lista aplikacji, której nie można wyłączyć, a uprzednie pozycje kierujące do Ustawień etc. to teraz tylko ikonki bez pełnych opisów. Wg raportu masz włączone przywracanie sesji: CHR Session Restore: Default -> [funkcja włączona] Ustawienia > karta Ustawienia > Po uruchomieniu > Kontynuuj tam gdzie skończyłem zmień na jedną z pozostałych opcji.

Miszel03 - Docelowo pomocnik w dziale Malware, ale dostosowanie do zasad pracy tutaj i przeszkolenie potrwa, nie mogę więc określić czasu rozpoczęcia przez niego pracy. Miszel03: Prowadzę pomoc w dziale Pomocy doraźnej.

Czy na pewno po czyszczeniu AdwCleaner nadal występuje zamulenie? Obecnie w raporcie tyllo jeden aktywny proces od niepożądanej instalacji Bing, brak innych procesów które zapewne były wcześniej. A Chrome nie działa, gdyż zostało podstawione fałszywym klonem SeaBlue i niektóre skróty nadal kierują na już usunięte pliki klona. Działania do przeprowadzenia 1. Odinstaluj stare wersje Bonjour, Java 8 Update 31. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Seablue_protect; "C:\ProgramData\Seablue\protect\protect.exe" [X] S2 Seablue_update; "C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe" [X] S2 eamonm; system32\DRIVERS\eamonm.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\system32\DRIVERS\ew_juwwanecm.sys [X] S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\Run: [bingSvc] => C:\Users\Hubert\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-11] (© 2015 Microsoft Corporation) HKLM\...\StartupApproved\Run: => "egui" HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\StartupApproved\Run: => "HEXelon MAX" Task: {1AC794CC-ABC2-4D13-AC6C-166E35E228A9} - System32\Tasks\SeablueBrowserUpdateCore => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe Task: {2A835466-9965-4F17-AB38-E5031CC6BF30} - System32\Tasks\SeablueCheckTask => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe Task: {6484112A-0A68-4CD1-A42F-7675513A0DA8} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 4.2\upgrade.exe [2016-09-21] (ESET) Task: {841E4D03-7D0C-4809-9B93-720A6728E6EA} - System32\Tasks\SeablueBrowserUpdateUA => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku CustomCLSID: HKU\S-1-5-21-3762805509-169700252-1295638891-1002_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Hubert\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.nuesearch.com/?type=sc&ts=1472037228&z=ef84cdaa81f52dde355f7fcg8z8mco0e4c6mbo9odq&from=eve0822&uid=ST500LT012-1DG142_S3PDHCNR StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.nuesearch.com/?type=sc&ts=1466496565&z=631a8414d8b51b633b39a2bgdz8q0qdzft4q2wbqbw&from=wpm0616&uid=ST500LT012-1DG142_S3PDHCNR HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131183153839929765&GUID=E7DE74A2-97E2-1576-501F-E9E3701E06D5 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131183153839939764&GUID=E7DE74A2-97E2-1576-501F-E9E3701E06D5 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE12&ocid=UE12DHP SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-3762805509-169700252-1295638891-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} SearchScopes: HKU\S-1-5-21-3762805509-169700252-1295638891-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 4.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Hubert\AppData\Local\Google\Chrome\User Data\Guest Profile C:\Users\Hubert\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Hubert\AppData\Local\Microsoft\BingSvc C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Hubert\Desktop\WarThunder.lnk C:\Users\Hubert\Desktop\tekli muzyczka\Mobile Partner.lnk C:\Windows\SysWOW64\*.html C:\Windows\SysWOW64\_TSpm Folder: C:\Windows\system32\setup Folder: C:\Windows\SysWOW64\setup CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. SeaBlue jest domyślną przeglądarką, ustaw Firefox lub Internet Explorer jako domyślną. Na razie nie można tego zrobić dla Chrome (dopóki nie zostanie wyczyszczony rejestr z klas SeaBlue). Następnie wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Seablue Dołącz też plik fixlog.txt.

AdwCleaner znalazł szczątki adware/PUP. Uruchom go ponownie, wybierz po kolei opcje Skanuj + Oczyść i przedstaw log z usuwania.

Upload.zip był tylko dla poszerzenia mojej wiedzy w jaki sposób ten sfałszowany Firefox był skonstruowany i co było w jego profilach (poza widocznością skanu FRST). Wszystkie komponenty kopiowane do Upload.zip zostały już dawno usunięte w pierwszym podejściu. Wszystko zrobione. Teraz jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Kończymy: 1. Odinstaluj stare wersje z lukami: Apple Software Update, Bonjour, Java 8 Update 66 (64-bit), Java 8 Update 66, Obsługa programów Apple, Opera 12.17, QuickTime 7. Do aktualizacji Internet Explorer. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

WMI pomyślnie naprawione. Jeszcze te dwa ukryte odpadki po AutoCAD 2016 zostały do usunięcia za pomocą Program Install and Uninstall Troubleshooter: AutoCAD 2016 — Polski (Polish) (Version: 20.1.49.0 - Autodesk) Hidden AutoCAD 2016 Language Pack – Polski (Polish) (Version: 20.1.49.0 - Autodesk) Hidden Natomiast widzę inną zmianę, obecnie na liście zainstalowanych są już dwa Firefoxy, 32-bit oraz 64-bit: Mozilla Firefox 48.0.2 (x86 en-US) (HKLM-x32\...\Mozilla Firefox 48.0.2 (x86 en-US)) (Version: 48.0.2 - Mozilla) Mozilla Firefox 49.0.1 (x64 pl) (HKLM\...\Mozilla Firefox 49.0.1 (x64 pl)) (Version: 49.0.1 - Mozilla) Poprzednio był tylko ten pierwszy. Jeśli obecnie używasz tylko edycji 64-bit, odinstaluj starszą edycję 32-bit.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Czyli zgodnie z planem usunięte. Na koniec zastosuj DelFix, a GMER i jego log dokasuj ręcznie. To wszystko.

Fix FRST wykonany. Natomiast jeśli na pewno tym razem został wykonany reset Chrome, to się upewnij że zniknęły podane wtręty: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > ma być pusta lista.

Temat przenoszę do działu Sieci. Nie ma żadnych oznak infekcji. Zmiana daty owszem mogła wpłynąć na zachowanie certyfikatów - wtedy nie można łączyć się ze stronami https. Ale wg FRST data jest obecnie poprawna. Sprawdź ustawienia ESET, np. czy pomoże odznaczenie skanu protokołu HTTPS. PS. HijackThis - zapomnij o tym archaiźmie, nie jest ani kompatybilny z systemami 64-bit (pokazuje fałszywe odczyty), ani z nowoczesnymi systemami.

Dane dostarcz razem, czyli plik fixlog.txt z punktu 2 (nie powtarzaj skryptu, jest jednorazowy) oraz nowy log Addition.txt zrobiony już po rekonfiguracji usługi WMI i restarcie systemu.

Fix wykonany. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z I:\portableapps\programy przenosne\frst. Zastosuj też DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko.

To jakiś drobny szczątek adware z przeszłości, do usunięcia.

Po lewej klik w Zmień ustawienia karty sieciowej. Prawie wszystko wykonane, ale wymagane poprawki: 1. Nie ma oznak wykonania tej operacji: Nadal w logu widać strony startowe adware w Chrome. 2. Trzeba też usunąć niektóre skróty gier, zostały zmodyfikowane przez adware, by otwierać podejrzaną stronę: start "" /I /B /D"D:\Muve\Muve Downloader\" "D:\Muve\Muve Downloader\Launcher.exe" "http://goodle.su" start "" /I /B /D"D:\Steam\steam\games\EUROTR~1\" "D:\Steam\steam\games\EUROTR~1\launcher.exe" "http://goodle.su" start "" /I /B /D"D:\TRUCKE~1\" "D:\TRUCKE~1\LAUNCH~1.EXE" "http://goodle.su" Otwórz Notatnik i wklej w nim: CMD: ipconfig /flushdns C:\Program Files (x86)\Java C:\Users\szef\Desktop\Gry\Plаy Еurо Тruсk Simulаtоr 2 Мultiplаyеr.lnk C:\Users\szef\Desktop\Gry\Еurо Тruсk Simulаtоr 2 Мultiplаyеr.lnk C:\Users\szef\Desktop\Gry\Мuvе Dоwnlоаdеr.lnk Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. PS. Oczywiście odpowiadasz już w nowym poście, nie edytuj poprzedniego.

Wykonałeś punkty 1 i 2? Jeśli chodzi o usterkę WMI, to wg raportu usługa Winmgmt jest wyłączona. Klawisz z flagą Windows + R > services.msc > dwuklik na usługę Instrumentacja zarządzania Windows > Typ uruchomienia ustaw na Automatyczny > zresetuj system. Po tej akcji wygeneruj nowy raport FRST Addition.txt i tylko ten plik dostarcz.

Temat przenoszę do innego działu. Brak oznak infekcji. Z raportów nic nie wynika i trudno tu cokolwiek doradzić. Pytanie czy zachodzą jakieś zmiany w funkcjonowaniu Opery w następujących scenariuszach: po deaktywacji wszystkich rozszerzeń obecnie zainstalowanych w Operze, po wyłączeniu Avast oraz VyprVPN?