picasso

Problemem jest infekcja routera, zamalowany adres IP jest holenderski: Tcpip\Parameters: [DhcpNameServer] 5.39.220.125 8.8.8.8 Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony dodatkowe działania poboczne: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns Task: {161E0C07-2573-4EE5-9190-380AED446106} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {18C7A009-1FAD-4328-A534-C5D3FDFE9EDC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {32C9A5D6-9044-4883-AC00-92B87D06264E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\Windows\System32\AutoWorkplace.exe Task: {36C47DF0-A8A3-4ED8-AA10-F6B5FE9168AF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {588E231A-AF8B-4DFE-AFEC-86DA6CEDA7EF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {64B17A55-0C02-4115-A328-9F538AB20D81} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {68D6C696-E44A-425F-B26A-DA452F95789D} - \WPD\SqmUpload_S-1-5-21-1941264818-4225413360-4045777747-1001 -> Brak pliku Task: {762BCE78-A565-4405-A04C-2143B730894F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {79BFA46C-16C8-459B-8579-7774D3205E76} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {887F04EA-EB16-4D21-A5B8-669BF7FFB30A} - System32\Tasks\{B454B5BC-3903-462B-9A58-1148F1F4BDE5} => pcalua.exe -a "C:\Program Files\AutoCAD 2009\acad.exe" -d "C:\Users\Adam\Desktop\DWG\Nowy folder" -c "C:\Users\Adam\Desktop\DWG\Nowy folder\Teren hali.dwg" Task: {9750A906-F754-4F2F-8750-B4433F6A8BC9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D01E78BC-9F19-4186-9693-25F9856CD511} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {EA73656B-1334-47F6-B033-984DABAAD21B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {F966FAAA-CA74-4048-8DF3-89E24B9AF41C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku ShellIconOverlayIdentifiers: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => Brak pliku ShellIconOverlayIdentifiers: [uchwyt nakładania ikony podpisu cyfrowego] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => Brak pliku HKU\S-1-5-21-1941264818-4225413360-4045777747-1001\...\Policies\Explorer: [] HKU\S-1-5-21-1941264818-4225413360-4045777747-1001\...\Run: [CCleaner Monitoring] => "C:\Windows.old\Program Files\CCleaner\CCleaner64.exe" /MONITOR HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Raptr /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Raptr /f C:\Users\Adam\AppData\Roaming\Autodesk\AutoCAD 2015\R20.0\plk\Plotters\Dodaj ploter.lnk C:\Users\Adam\AppData\Roaming\Autodesk\AutoCAD 2015\R20.0\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk C:\Users\Adam\Desktop\Programy\CCleaner.lnk C:\Users\Adam\Desktop\Programy\Registry Life.lnk RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Czy na pewno uruchomiłeś program w trybie awaryjnym Windows?

Główny komunikat i kod błędu są zbyt ogólne, dlatego zostały podane detale debugowania.

Nadal jest co czyścić, m.in. aktywne sterowniki adware, zainfekowane Google Chrome oraz wszystkie skróty przeglądarek. Przy okazji będę też usuwać odpadki po odinstalowanych programach. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Citdhwa; "C:\Users\Przemek\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [X] S2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [X] S2 KuaizipUpdateChecker; C:\Program Files\¿ìѹ\X86\kuaizipUpdateChecker.dll [X] S1 HWiNFO32; C:\Windows\SysWOW64\drivers\HWiNFO64A.SYS [27552 2016-09-15] (REALiX(tm)) S2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-09-17] (WinMount International Inc) S2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-09-17] (WinMount International Inc) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) S2 ComputerZLock; \??\C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [X] S3 ComputerZ_x64; \??\C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [X] NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ==> No File Task: {0AF14ECA-B2B9-48B5-A34E-89D8306FE486} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {A76297F3-3BBC-4275-84B0-6D9234D1A7E4} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Przemek\AppData\Roaming\Adobe\Manager.exe Task: {B04AFB75-99CB-4F38-A91A-E99E2D52BC56} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {DA8D609C-E26D-48D0-AC5A-7BA3F5FBC530} - System32\Tasks\ComputerZ-Tray => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe Task: {DEFAEC10-5A75-418F-8063-D04C84888430} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\F85A~1\X86\Update.exe Task: {F37800E9-3BA8-4E7E-B6AD-98ABD7A0E413} - System32\Tasks\Microsoft\Windows\Multimedia\ReportSender => C:\Users\Przemek\ReportSender\ReportSender.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe HKLM-x32\...\Run: [win_en_77] => "C:\Program Files (x86)\win_en_77\win_en_77.exe" HKLM-x32\...\Run: [app] => C:\Program Files (x86)\sbqh\uc.exe HKLM\...\RunOnce: [GrpConv] => grpconv -o HKLM-x32\...\RunOnce: [{AA6E0D33-1840-4D0A-98EA-E7B4E82016DC}] => cmd.exe /C start /D "C:\Users\Przemek\AppData\Local\Temp\{AA6E0D33-1840-4D0A-98EA-E7B4E82016DC}" /B {9B3387C1-398F-42AD-A67A-85C6283565EB}.exe -accepteula -accepteulaksn -postboot HKU\S-1-5-21-1027309677-2631733394-661215758-1000\...\Run: [installer] => C:\Users\Przemek\AppData\Local\Temp\is-64H6C.tmp\51490.exe /autorun ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\¿ìѹ\X64\KZipShell.dll No File ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll No File SearchScopes: HKU\S-1-5-21-1027309677-2631733394-661215758-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-1027309677-2631733394-661215758-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File GroupPolicy: Restriction - Chrome GroupPolicyScripts: Restriction GroupPolicyScripts-x32: Restriction CHR HKLM\SOFTWARE\Policies\Google: Restriction ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" FirewallRules: [{69CAB555-BA9E-4731-882F-DFC2126E450D}] => (Allow) C:\Users\Przemek\AppData\Local\Temp\is-64H6C.tmp\download\MiniThunderPlatform.exe FirewallRules: [{4235CDA7-3945-4CBF-8977-ED1CA8A03CB9}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{F3741A6B-EAC4-4B83-9F15-2D7A76B913E6}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{4F15D172-C36B-4CCC-AB50-FC685F80901D}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\75420476.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\75420476.sys => ""="Driver" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Temp C:\ProgramData\mntemp C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\ProductData C:\ProgramData\Thunder Network C:\ProgramData\UniqueId C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Users\Przemek\AppData\Local\Ckotoghzunle C:\Users\Przemek\AppData\Local\Tempfolder C:\Users\Przemek\AppData\Local\UCBrowser C:\Users\Przemek\AppData\Local\Zemana C:\Users\Przemek\AppData\LocalLow\Company C:\Users\Przemek\AppData\LocalLow\IObit C:\Users\Przemek\AppData\LocalLow\Octogear Games C:\Users\Przemek\AppData\Roaming\agent.dat C:\Users\Przemek\AppData\Roaming\Installer.dat C:\Users\Przemek\AppData\Roaming\Main.dat C:\Users\Przemek\AppData\Roaming\Adobe C:\Users\Przemek\AppData\Roaming\Hemkajdoa C:\Users\Przemek\AppData\Roaming\IObit C:\Users\Przemek\AppData\Roaming\KuaiZip C:\Users\Przemek\AppData\Roaming\Ludashi C:\Users\Przemek\AppData\Roaming\Macromedia C:\Users\Przemek\AppData\Roaming\Mozilla C:\Users\Przemek\AppData\Roaming\Origin C:\Users\Przemek\AppData\Roaming\Softlink C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\¿ìÑ1.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\¿ìѹ.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Przemek\Downloads\*.crdownload C:\Users\Public\Thunder Network C:\Windows\libcurl-4.dll C:\Windows\libeay32.dll C:\Windows\libwinpthread-1.dll C:\Windows\Azart C:\Windows\IObit C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\SysWOW64\atrc.dll C:\Windows\SysWOW64\authmgr.dll C:\Windows\SysWOW64\clntxres.dll C:\Windows\SysWOW64\colorcvt.dll C:\Windows\SysWOW64\cook.dll C:\Windows\SysWOW64\drv1.dll C:\Windows\SysWOW64\drv2.dll C:\Windows\SysWOW64\drvc.dll C:\Windows\SysWOW64\GameCenter.exe.config C:\Windows\SysWOW64\GameXP.exe.config C:\Windows\SysWOW64\MUpdater.exe.config C:\Windows\SysWOW64\pncrt.dll C:\Windows\SysWOW64\pnen3260.dll C:\Windows\SysWOW64\raac.dll C:\Windows\SysWOW64\ramfformat.dll C:\Windows\SysWOW64\ramrender.dll C:\Windows\SysWOW64\rarender.dll C:\Windows\SysWOW64\rmfformat.dll C:\Windows\SysWOW64\rv10.dll C:\Windows\SysWOW64\rv20.dll C:\Windows\SysWOW64\rv30.dll C:\Windows\SysWOW64\rv40.dll C:\Windows\SysWOW64\rvrender.dll C:\Windows\SysWOW64\sipr.dll C:\Windows\SysWOW64\smplfsys.dll C:\Windows\SysWOW64\vidsite.dll C:\Windows\SysWOW64\vp6vfw.dll C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome jest ustawiony jako domyśny profil adware (nazwa na dysku ChromeDefaultData, ale w opcjach prawdopodobnie user0). Wymagana całkowita zmiana profilu. Menu Ustawienia > karta Ustawienia > Osoby: - Jeśli widać tylko jeden profil, Dodaj nową osobę i uruchom Chrome z poziomu tego profilu, a okno poprzedniego zamknij. Następnie w ustawieniach skasuj poprzedni profil. - Jeśli jednak widać dwa, przełącz się na ten poprzedni, a user0 skasuj. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Podaj które programy masz na myśli, niestety każda z akcji zmienia postać raportów FRST i trzeba dostarczyć świeże ponownie. Podmień załączniki w poście powyżej.

Temat przenoszę do działu Windows, brak związku z malware. Wg pierwszych raportów FRST jedna z ostatnich grubszych wagowo instalacji to sterowniki nVidia: ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2016-08-13 21:55 - 2016-08-21 15:45 - 00001386 _____ C:\Users\Public\Desktop\GeForce Experience.lnk 2016-08-13 21:14 - 2016-08-13 21:14 - 00000000 ____D C:\Windows\SysWOW64\NV 2016-08-13 21:14 - 2016-08-13 21:14 - 00000000 ____D C:\Windows\system32\NV 2016-08-13 21:14 - 2016-04-16 00:53 - 00130328 _____ C:\Windows\SysWOW64\vulkan-1.dll 2016-08-13 21:14 - 2016-04-16 00:53 - 00040216 _____ C:\Windows\SysWOW64\vulkaninfo.exe 2016-08-13 21:14 - 2016-04-16 00:52 - 00130840 _____ C:\Windows\system32\vulkan-1.dll 2016-08-13 21:14 - 2016-04-16 00:52 - 00045336 _____ C:\Windows\system32\vulkaninfo.exe 2016-08-13 21:11 - 2016-04-27 16:35 - 42923576 _____ C:\Windows\system32\nvcompiler.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 37567424 _____ C:\Windows\SysWOW64\nvcompiler.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 31558080 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglv64.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 25322552 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglv32.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 21355760 _____ (NVIDIA Corporation) C:\Windows\system32\nvopencl.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 20897608 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuda.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 19007480 _____ (NVIDIA Corporation) C:\Windows\system32\nvwgf2umx.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 17749736 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvopencl.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 17343096 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuda.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 17248216 _____ (NVIDIA Corporation) C:\Windows\system32\nvd3dumx.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 16450472 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvwgf2um.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 14129544 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvd3dum.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 12539960 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvlddmkm.sys 2016-08-13 21:11 - 2016-04-27 16:35 - 10550736 _____ C:\Windows\system32\nvptxJitCompiler.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 08659472 _____ C:\Windows\SysWOW64\nvptxJitCompiler.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 03714472 _____ (NVIDIA Corporation) C:\Windows\system32\nvapi64.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 03235896 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuvid.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 02810936 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuvid.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 01924152 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispco6436510.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 01571776 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispgenco6436510.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00957888 _____ (NVIDIA Corporation) C:\Windows\system32\NvFBC64.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00889400 _____ (NVIDIA Corporation) C:\Windows\system32\NvIFR64.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00751552 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvFBC.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00694208 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvIFR.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00678704 _____ C:\Windows\system32\nvfatbinaryLoader.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00571912 _____ C:\Windows\SysWOW64\nvfatbinaryLoader.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00151368 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglshim64.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00129024 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglshim32.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00038336 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvpciflt.sys 2016-08-13 21:11 - 2016-04-27 16:35 - 00000139 _____ C:\Windows\SysWOW64\nv-vk32.json 2016-08-13 21:11 - 2016-04-27 16:35 - 00000139 _____ C:\Windows\system32\nv-vk64.json Oba dostarczone pliki DMP pokazują kontekst sterownika nVidia nvlddmkm.sys: Jeżeli BSOD zaczęły się po aktualizacji sterowników, nasuwa się by zacząć od przywrócenia ich poprzedniej wersji.

W tym systemie brak oznak infekcji, do korekty byłby tylko drobne odpadkowe wpisy, ale nie ma to znaczenia i potem się tym zajmę. Dostarcz więc logi z laptopa: Jeśli i na nim nie będzie oznak infekcji, problemem może być IP jakie obecnie jest przypisane (mogło być w użyciu wcześniej):

Użyłeś potwornie stary FRST, pozbawiony masy poprawek i detekcji: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 504 days old and could be outdated) Najnowsza wersja jest z dzisiaj. Proszę pobierz najnowszy z przyklejonego i zrób nowe logi (wszystkie trzy): KLIK.

Nie polecam żadnych chińskich przeglądarek (Baidu, UCBrowser i pochodne). Problem z nimi polega m.in. na instalacjach niepożądanych PUP oraz kwestiach prywatności. Opisz na czym polega problem z Flash w Chrome, jak wygląda to "niedziałanie" i na jakich stronach. I jeszcze dodam, że Flash to technologia wymierająca (obecnie jest tendencja do przełączania na HTML5) oraz będąca pożywką dla infekcji. Już za niedługo w Chrome zostanie domyślnie zdeaktywowany (będzie się zgłaszał monit na stronach które nie obsługują jeszcze metodologii HTML5, by włączyć wtyczkę). Ja nadal widzę Baidu PC Faster na liście zainstalowanych oraz w uruchomionych procesach. Wstępne działania: 1. Spróbuj ponownie odinstalować Baidu PC Faster. Tu instrukcje jak wyglądają dialogi: KLIK. Nie wiem tylko czy pasuje to do opcji wersji, która zainstalowała się u Ciebie. 2. Do deinstalacji także stare programy i zbędne instalacje: Adobe Download Assistant, Adobe Flash Player ActiveX, Adobe Help Manager, Adobe Media Player, Adobe Shockwave Player 12.2, Apple Software Update, DivX Pro ĘÓƵ±ŕ˝âÂëĆ÷, Intel Security True Key (prawdopodobnie instalacja sponsorowana, weszła przez nieuważne instalowanie Adobe Flash), Java 8 Update 65, Obsługa programów Apple, QuickTime 7 (cały majdan Apple musi być odinstalowany ze względów bezpieczeństwa), Real Alternative 2.0.2, RealPlayer, SpyHunter 4 (lewy niepożądany skaner), Xvid MPEG-4 Video Codec, Xvid Video Codec. 3. Niezależnie od tego czy powiedzie się deinstalacja SpyHunter, zastosuj po niej także SpyHunterCleaner. 4. Zrób nowe logi FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Na ich poodstawie będzie doczyszczanie tego co pozostanie.

Nie widzę w raportach jawnej infekcji powiązanej z objawami. Jedyne co mnie zastanawia, to te zadania w Harmonogramie jakoby od instalacji Mashed, gdyż pierwsze z nich jest opisane ni w pięć ni w dziesięć jako "DELL". Nie mam jednak instalacji Mashed do porównania czy to poprawne obiekty. Czy na pewno zaznaczyłeś opcję Pokaż procesy wszystkich użytkowników? Podaj wyciąg ze skanera gdzie on widzi to zagrożenie, w jakiej ścieżce dostępu. Do detekcji BrowseFox pasuje poniższy obiekt, ale to już martwa usługa (nie uruchamia się i na 100% nie ma związku z objawami). S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X] Póki co, zadaję tylko doczyszczanie szczątków adware oraz wpisów pustych (w tym puste skróty z Shortcut.txt). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {02094454-8734-4B26-8AFA-19742FD12F6A} - System32\Tasks\QtraxPlayer => 797711452.portal.qtrax.com Task: {32E22547-BAB7-4DB1-9955-83EAEEFE1ED4} - System32\Tasks\{989A7028-98D9-43A8-83B5-E15CFB182410} => pcalua.exe -a "D:\Program Files (x86)\The Vanishing of Ethan Carter\Binaries\Launcher.exe" -d "D:\Program Files (x86)\The Vanishing of Ethan Carter\Binaries" Task: {5CB4B241-4A96-4F3D-8418-02A2187A3F3A} - System32\Tasks\{E70AC7E4-7968-43A2-867E-70FB0B0C2061} => pcalua.exe -a C:\Users\user\AppData\Local\Temp\jre-8u77-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {E64CF221-96CD-40FF-94ED-E025906E2067} - System32\Tasks\{19AC2C04-E99E-41AD-833E-7E375430D87E} => pcalua.exe -a D:\Flak\InstallFilter.exe -d D:\Flak GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\19zl9cwy.default-1410599145989\user.js [2014-12-01] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\mntemp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Aspyr Media, Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battlefield 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bound By Flame C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Desura C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FTL Faster Than Light C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gone Home PL [bDIP] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kerbal Space Program C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NSR-Stage 1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlast PL [bDIP] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\State of Decay C:\ProgramData\Microsoft\Windows\Start Menu\Programs\thechineseroom C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TmUnitedForever C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TrackMania 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Blue Byte C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zombie Studios C:\Users\user\AppData\Local\{737D343D-1987-4303-98C9-611F85351516} C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1-click run C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ElcomSoft C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Miner Wars 2081 C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlagueInc 1.0 C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Spelunky HD 1.0 C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Binding of Isaac C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Swapper 1.0 C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Thomas Was Alone C:\Users\user\Desktop\Nazwa nie wymagana\Banished 64-bit.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Battlefield 4(64 bit).lnk C:\Users\user\Desktop\Nazwa nie wymagana\Battlefield 4.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Dead Space.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Death Track Resurrection.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Duel of Champions Launcher.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Miasmata.lnk C:\Users\user\Desktop\Nazwa nie wymagana\PIT Projekt 2013.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Play Outlast.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Play Thief.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Reus.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Sir, You Are Being Hunted.lnk C:\Users\user\Desktop\Nazwa nie wymagana\The Darkness II.lnk C:\Users\user\Desktop\Nazwa nie wymagana\The Evil Within.lnk C:\Users\user\Desktop\Nazwa nie wymagana\The Forest.lnk C:\Users\user\Desktop\Nazwa nie wymagana\The Last Door.lnk C:\Users\user\Desktop\Resztki\TrackMania 2.lnk C:\Users\user\Desktop\Resztki\mcdungeon-v0.14.0-win64\Battlefield 4(64 bit).lnk C:\Users\user\Links\bmp.lnk C:\Users\Iwona\Desktop\dokumenty\Skrót do Iwona.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Miałeś dostarczyć log ze skanu Hitman. Trudno powiedzieć co on widział w DT. A LEGACY_CHERIMOYA to wpis odpadkowy po adware. Tak, wygląda to na problem synchronizacji. Czyli zresetuj synchronizację: Otwórz Panel Google i na dole kliknij Resetuj synchronizację. Po tej akcji powtórz poprzednio zadane czyszczenie na poziomie lokalnym: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl. Jeśli odinstalujesz wszystko, zrób nowe logi FRST.txt + Addition.txt, które zdowodują czy określone elementy zostały usunięte.

To adware/malware Win32/Suweezy, nabyte z jakiegoś "downloadera". Procesy są uruchamiane poprzez usługi, malware także wyklucza się samoistnie ze skanów. RegHunter to brat SpyHunter, program niepożądany! Masz na myśli jakieś skutki uboczne? Z FRST mogę tylko tyle się domyślić, że prawdopodobnie skasowałeś pliki licencji Windows, gdyż są oznaczone jako nowo utworzone: 2016-09-16 19:27 - 2016-09-16 19:52 - 00001184 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2016-09-16 19:27 - 2016-09-16 19:52 - 00001184 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj RegHunter. Być może będzie jakiś błąd, gdyż nstalacja już wygląda na naruszoną. Jeśli byłyby jakieś problemy z deinstalacją, wypróbuj Program Install and Uninstall Troubleshooter. Konsekwentnie na liście jest też Ace Stream Media 3.0.12, ale o tym już mówiliśmy wcześniej: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 CfHelper33; D:\Program Files\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper44; D:\Program Files\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper55; D:\Program Files\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper66; D:\Program Files\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CleberchponushConfiguration; C:\Program Files (x86)\Phersercultsiergh\GrkDbg.dll [309760 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm3; C:\Program Files (x86)\SoSoIm_3\SoSoIm3.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm4; C:\Program Files (x86)\SoSoIm_4\SoSoIm4.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm5; C:\Program Files (x86)\SoSoIm_5\SoSoIm5.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm6; C:\Program Files (x86)\SoSoIm_6\SoSoIm6.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [521496 2016-09-14] () S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {376F02DD-27A5-4FBB-A057-3A3AB5150115} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\Program Files (x86)\joasnalx\obkmc.js Task: {4626D902-60FD-4596-B5EE-13B395B22CAA} - System32\Tasks\SafeZone scheduled Autoupdate 1474044924 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe Task: {861C3340-B9CF-47A1-A787-B35A45A9549C} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-09-16] (AVAST Software) Task: {C40DE0C9-0534-40BC-9A06-EA01960AF256} - System32\Tasks\RegHunterStartup => C:\Program Files\Enigma Software Group\RegHunter\RegHunter.exe Task: {DCC7DA10-06F7-4826-9AB1-B3334579CEAD} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {DCD85BC6-3D4D-4852-9386-D9E6A34D5DE4} - System32\Tasks\Cleberchponush Configuration => C:\Program Files (x86)\Phersercultsiergh\cludogh.exe [2016-09-13] (Kunshan Aunbox software co.,Ltd) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\253ksrvi C:\Program Files (x86)\joasnalx C:\Program Files (x86)\Phersercultsiergh C:\Program Files (x86)\SoSoIm_3 C:\Program Files (x86)\SoSoIm_4 C:\Program Files (x86)\SoSoIm_5 C:\Program Files (x86)\SoSoIm_6 C:\Program Files (x86)\uojtfl8n C:\Program Files (x86)\WinSaber C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Karol\AppData\Local\{E7BEFFDD-3489-42AA-914B-3D8A129A5F89} C:\Users\Karol\AppData\Local\{74A7644F-F837-415B-A597-54A1B7F39AC5} C:\Users\Karol\AppData\Local\ACCCx3_7_5_291.zip.aamdownload C:\Users\Karol\AppData\Local\ACCCx3_7_5_291.zip.aamdownload.aamd C:\Users\Karol\AppData\Local\BITE502.tmp C:\Users\Karol\AppData\Local\BITFA74.tmp C:\Users\Karol\AppData\Roaming\eCyber C:\Users\Karol\AppData\Roaming\Enigma Software Group C:\Users\Karol\AppData\Roaming\WinZiper C:\Users\Karol\AppData\Roaming\Youtube Downloader HD C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\hfwuh2et.default-1466016864130\searchplugins\vaidylcl.xml C:\Users\Karol\Desktop\RegHunter.lnk C:\Users\Karol\Downloads\RegHunter-Installer.exe C:\Users\Karol\Start Menu\Programs\RegHunter C:\Windows\Joberphlusisp C:\Windows\System32\Tasks\AVAST Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome jest ustawiony jako domyśny profil adware (nazwa na dysku ChromeDefaultData, ale w opcjach prawdopodobnie user0). Wymagana całkowita zmiana profilu. Menu Ustawienia > kata Ustawienia > Osoby > Dodaj nową osobę i uruchom Chrome z poziomu tego profilu, a okno poprzedniego zamknij. Następnie w ustawieniach skasuj poprzedni profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Operacje związane z czyszczeniem systemu: Zabrakło trzeciego obowiązkowego pliku FRST Shortcut.txt. I wg moich przewidywań jest nadal czym się zajmować (m.in. aktywne usługi adware, zainfekowane DNS systemu). Działania pod kątem czyszczenia systemu z infekcji i szczątków programów: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Ace Stream Media 3.1.6 (wbudowane adware), DivX Setup (stary program), Simple Adblock (to wygląda na podróbkę adware). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń odpadkowy wpis ZoneAlarm Antivirus. - Uruchom Kaspersky Remover pod kątem usunięcia szczątków po odinstalowanym antywirusie ZoneAlarm (na silniku Kasperskiego, stąd narzędzie Kasperskiego). 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: () D:\Program Files\MSUser.Default\Help_4\CfHelp44.exe () D:\Program Files\MSUser.Default\Help_3\CfHelp33.exe () D:\Program Files\MSUser.Default\Help_5\CfHelp55.exe () D:\Program Files\MSUser.Default\Help_6\CfHelp66.exe R2 CfHelper33; D:\Program Files\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper44; D:\Program Files\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper55; D:\Program Files\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper66; D:\Program Files\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] S2 Bokvunnu; "C:\Users\ppp\AppData\Roaming\GowvePitpagf\Lurzem.exe" -cms [X] S3 Trufos; C:\Windows\System32\DRIVERS\Trufos.sys [485512 2016-04-28] (BitDefender S.R.L.) U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" BootExecute: autocheck autochk * lsdel.exe Task: {0840D42C-D9F4-411D-AD2D-A4A49D5FC764} - System32\Tasks\{73CE7F1C-9663-4383-95E2-DC596BAFB3F0} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" -d "C:\Program Files\SpaceSoundPro" Task: {09FD1D52-B7D4-48BF-85BA-4703B093A1B4} - System32\Tasks\{D992B94A-F245-45D9-B4A6-8515E4BB4D32} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {0C070801-0FFC-474E-8731-6FA6E2C1AA02} - System32\Tasks\Microsoft\Microsoft Antimalware\MpIdleTask => c:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {1180967C-83F0-42E4-9D33-EE380E6D1BEC} - System32\Tasks\{DD34E517-FE22-4270-8B76-7421A8046BE9} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {1284B942-EF7A-449D-A959-394EF56A677F} - System32\Tasks\{A8E3F583-A5F8-4043-A670-EA449F8BDF4B} => pcalua.exe -a C:\Users\ppp\Downloads\winzip70.exe -d C:\Users\ppp\Downloads Task: {1E7E592F-4A6B-4AF9-AE4B-137C1BECCC1B} - System32\Tasks\{7C0234ED-CEA7-456F-8F75-B3F368D443FD} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {257DF5B0-D9C5-4396-901D-27FB1BABA186} - System32\Tasks\{C7D6008F-8F4B-4AF5-9C1F-4E46A68D1F36} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {29EC172C-573C-4760-BD31-46E827F91142} - System32\Tasks\{D087238C-FE4E-4D0C-8B00-964EF1B21D54} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {330F7681-FECA-4FD4-A0C1-2AC0C58787BD} - System32\Tasks\{BB4B2144-599E-498B-8721-5967CC37BB55} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {35DD5C3C-DB7D-4BA7-8FCF-56BBDBFD8894} - System32\Tasks\{4B581630-E9D5-4766-B061-FAF4784F72C7} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {374F331A-62EF-4A4E-8750-9336D00E9074} - System32\Tasks\{28CF082F-31E8-482A-A696-E4E9D917A93C} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {4131A782-F5F0-403F-BAF3-F86AB1AC815A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {52297301-2EDA-4067-B884-3D5CAF8ACF69} - System32\Tasks\{169916F2-D659-4C57-9E8C-C832E62E0D48} => pcalua.exe -a "C:\Program Files (x86)\WinThruster\unins000.exe" -c /silent Task: {56738121-9D02-40AD-9433-111AED274F18} - \JetCleanLoginCheckUpdate -> Brak pliku <==== UWAGA Task: {57A3FE5A-1817-4A4C-BB2F-7B78945E9709} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {6B4EA07A-A6F6-43B5-9E95-AFE426B0321F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {6DE3FD5F-DDE5-4D25-B81E-75F37F3E3043} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {6F0F0E8D-5C8F-4035-8EE1-12960F5CEA5B} - System32\Tasks\{4EECA964-E9D0-4A89-B545-523753BF48F1} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {76B7E8F0-B632-4948-8C4A-FD54D65212AD} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> Brak pliku <==== UWAGA Task: {7ADA8F7C-EECF-4A88-941A-59F5A3430271} - System32\Tasks\{3D01F992-96DC-421D-A426-8B2F4A4F2D8F} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {826E8B00-7EDE-4008-A152-ED4C7383A2AF} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => c:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {82B97A24-BFB7-42E5-8352-A4DC3B0766DE} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {8D89EE46-2506-4000-B068-467CDA601570} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {9E0477E8-F77D-42CE-B50F-2321BA8F05C7} - \JetBoost_AutoUpdate -> Brak pliku <==== UWAGA Task: {A0D4E02B-4F9E-48F0-9C77-9E0FE67C580F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {A5312850-A077-432A-920F-9D1C215B83E0} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\PROGRA~2\5bijtnvk\9c89o.js Task: {B18F9BB3-939A-4141-821C-2C3ABB06AA0B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {B584720C-6EA7-465E-9D55-23DDB13F9044} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {B7ACE271-D218-4B72-BFB0-7576B640468C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {B7CB9C3C-E79C-4D7C-B019-F20CEA5BDA91} - System32\Tasks\{177E99E9-BDDD-4D4C-AC47-6C363D5B0CB9} => pcalua.exe -a C:\Users\ppp\Downloads\Microsoft\X16-57077_VKYKV-JC3KY-7TQWD-GY7XD-M9P3P.exe -d C:\Users\ppp\Downloads\Microsoft Task: {BDDD9145-ADBD-4836-B688-10F71811C4F7} - System32\Tasks\{B1EB1369-A2B0-4FC5-B2B3-3C034BFAA972} => pcalua.exe -a C:\Users\ppp\Downloads\iview428_setup.exe -d C:\Users\ppp\Downloads Task: {BE88B82F-9064-4E61-9D21-09B9E3167C07} - System32\Tasks\{94EB6F62-6F69-43CF-B730-8CD6EA69D1FC} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {C1ACFB53-96D7-4B61-9072-0B60C33C30A2} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: {C27999BA-9F11-4E55-9AF2-A273DFDED2D1} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {C9675215-9281-44CC-AEA7-60F182B23139} - System32\Tasks\{AE22F64B-1656-48E5-986C-E3EAF576B910} => pcalua.exe -a "C:\Users\ppp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NEDV2JNV\X16-57077_VKYKV-JC3KY-7TQWD-GY7XD-M9P3P.exe" -d C:\Users\ppp\Desktop Task: {CA3DD899-25C8-419C-BF01-7EAD73BC1303} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {D3C0EE06-0E30-486F-89DA-04DB2E4AE303} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {DA43429A-891D-4146-B660-EA3793E311BA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {DD02CE3D-6176-4FBA-8389-D4610C6B937F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {EA14EA26-3D0E-41CA-830B-A81BAAA9D018} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Tcpip\..\Interfaces\{1816BC77-1199-4658-B220-2BB868685EC0}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{23b262fb-96ae-4e9b-a8dd-6cb8d4bdf60f}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{58c9a3d2-cb91-11e5-97c4-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{644e8e76-1747-4eba-bee4-b304d50ddad6}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{65C05BA0-D0B8-44D1-978A-8C91CDB03E3C}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{6692e45a-fbbf-4127-898f-2231948439b3}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{a2e2c930-5576-4a50-aa98-5244ccf219a4}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{a5d35310-ab6e-4cc5-8469-13e3a5583339}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{F04B9042-60FF-4BC8-989A-D38E0DCDFC85}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{f3a68278-c2b5-4c5e-957a-f8053e20148c}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{f7c6a974-1765-4082-876b-007a030edb24}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{fa46bd63-638d-4fe2-84cb-4f1919e5cf0e}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{FC5425F4-F28A-44FE-A6CE-C5988BF41845}: [NameServer] 104.197.191.4 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3792996942-1847973479-2767891591-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXsPk5jTsNfMAgETq8fa-ptMR5GzIZ59XIZky7L8fjgC6y-mZffSlcilqjM92hY3LJxCV4Ve61OJ0WAJ6FZCKVNVq8QnRSAukIFsecQxbaSUWIRHH-_mn9tAXafAhYE42gWlk6qDd1lRFCCR7RldLdoatBr1U,&q={searchTerms} HKU\S-1-5-21-3792996942-1847973479-2767891591-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXsPk5jTsNfMAgETq8fa-ptMR5GzIZ59XIZky7L8fjgC6y-mZffSlcilqjM92hY3LJxCV4Ve61OJ0WAJ6FZCKVNVq8QnRSAukIFsecQxbaSUWIRHH-_mn9tAXafAhYE42gWlk6qDd1lRFCCR7RldLdoatBr1U,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = Toolbar: HKU\S-1-5-21-3792996942-1847973479-2767891591-1000 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-3792996942-1847973479-2767891591-1005\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-3792996942-1847973479-2767891591-1005\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\ByteFence C:\Program Files\Plumbytes Software C:\Program Files\pclient C:\Program Files\SpaceSoundPro C:\Program Files (x86)\Chwuward C:\Program Files (x86)\DPower C:\Program Files (x86)\host C:\Program Files (x86)\Mozilla Firefox D:\Program Files\MSUser.Default C:\ProgramData\profile.xml C:\ProgramData\cosun C:\ProgramData\LuckyBrowse C:\ProgramData\Nimfind C:\ProgramData\Nimfinds C:\ProgramData\Thunder Network C:\Users\ppp\AppData\Local\app C:\Users\ppp\AppData\Local\Drfege C:\Users\ppp\AppData\Local\Tempfolder C:\Users\ppp\AppData\Local\tuto_monetize_220160909 C:\Users\ppp\AppData\Roaming\*.* C:\Users\ppp\AppData\Roaming\Corner Sunshine C:\Users\ppp\AppData\Roaming\GameLauncher C:\Users\ppp\AppData\Roaming\Geunfy C:\Users\ppp\AppData\Roaming\KuaiZip C:\Users\ppp\AppData\Roaming\Mozilla C:\Users\ppp\AppData\Roaming\Softlink C:\Users\ppp\AppData\Roaming\Solvusoft C:\Users\ppp\AppData\Roaming\UPUpdata C:\Users\ppp\Desktop\Stare dane programu Firefox C:\Users\Public\Thunder Network C:\WINDOWS\Joberphlusisp C:\WINDOWS\ehome C:\WINDOWS\system32\ijaj C:\WINDOWS\System32\Drivers\Trufos.sys C:\WINDOWS\System32\Tasks\Microsoft\Microsoft Antimalware C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\kz.exe CMD: netsh advfirewall reset CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Operacje związane z odskiwaniem Historii Pale Moon: W systemie są następujące punkty Przywracania systemu: ==================== Punkty Przywracania systemu ========================= 01-09-2016 22:16:17 Windows Update 11-09-2016 17:38:10 Zaplanowany punkt kontrolny 14-09-2016 17:38:16 Windows Update Jest szansa na plik z 1 września, o ile punkt Przywracania zawiera folder Pale Moon. Czyli: 1. Uruchom ShadowExplorer. Z menu wybierz tę datę 01-09-2016 i w programie przejdź do ścieżki C:\Users\ppp\AppData\Roaming\Moonchild Productions\Pale Moon\Profiles\3umbc8e6.default, skopiuj plik places.sqlite na Pulpit właściwy. 2. Zamknij Pale Moon. W eksploratorze Windows (a nie ShadowExplorer) wklej w pasku adresów ścieżkę C:\Users\ppp\AppData\Roaming\Moonchild Productions\Pale Moon\Profiles\3umbc8e6.default i ENTER. Zamień w niej plik places.sqlite tym skopiowanym w punkcie 1 na Pulpit. Uruchom Pale Moon i podaj czy widzisz starsze dane o które Ci chodziło.

FRST potwierdza, że plik dnspapi.dll został wyleczony. Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj programy Adobe. Wszystko opisane tu: KLIK.

Wzystko zrobione. 1. Dodatkowa uwaga tycząca gry Black Desert - do deinstalacji towarzyszczący program QGNA (Global Gamers Solutions Ltd.). Wg Emsisoft oraz Reason Core Security to niepożądany element (podobnie jak THORN usuwany już wcześniej przeze mnie). Ale sugerowałabym pozbyć się po prostu także całej gry. 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\Info CMD: del /q C:\IFRToolLog.txt CMD: del /q C:\TDSSKiller.3.1.0.11_13.09.2016_20.03.50_log.txt Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 3. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe (to fałszywy alarm), dostarcz raport.

Fix FRST pomyślnie wykonany. Natomiast jeśli chodzi o wyniki AdwCleaner, to czepia się programu MyFreeCodec (od Samsunga). Odinstaluj ten program w tradycyjny sposób za pomocą Panelu sterowania. Następnie uruchom AdwCleaner ponownie, wybierz sekwencję opcji Skanuj + Oczyść i dostarcz log z wynikami usuwania.

"Poziom wyżej" czyli do głównego widoku pendrive, tak jak to było oryginalnie przed manipulacją infekcji. 1. Jeśli chodzi o pendrive, to dwa skróty F:\Removable Drive (16GB).lnk + H:\RYSZARD (8GB).lnk nie zostały usunięte (błędy "Odmowa dostępu"). Czy jesteś je w stanie ręcznie skasować? 2. Jeśli chodzi o infekcję dnsapi.dll, to jakoby "Disinfected". W logu był komunikat, że wymagany restart komputera. Jeśli tego nie zrobiłeś jeszcze, wykonaj. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, mający potwierdzić wyleczenie pliku.

Plik Addition.txt nie wygląda na oryginalny plik utworzony przez FRST, tylko wtórnie przez Ciebie zapisany do nowego pliku z błędnym kodowaniem (ANSI zamiast UTF-8). Znaki specjalne uszkodzone. Czy tak? Czy posiadasz logi z narzędzi pokazujące co było usuwane? W raportach FRST mało co widać, w zasadzie tylko uszkodzony Winsock, z tym że to raczej nie powinno produkować takich objawów. Skoro problem nie występuje w trybie awaryjnym, prędzej nasuwa się jakiś proces uruchamiany w trybie normalnym i tu najbardziej podejrzany wydaje mi się Comodo Internet Security, który wg raportów został co dopiero zainstalowany. Ale są też oznaki uszkodzenia struktury systemu plików, uruchamiał się checkdisk i "ścinał" jakieś dane: 2016-09-16 04:43 - 2016-09-16 04:43 - 00000000 __SHD C:\found.000 Na razie doczyść to co widać w raportach, choć wątpię, by to wniosło coś do sprawy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia S2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.3.0.5\WsAppService.exe [X] S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\MobileGo\DriverInstall.exe" [X] HKLM\...\Run: [Zoolz Tray] => "C:\Program Files\Genie9\Zoolz2\ZoolzLauncher.exe" "C:\Program Files\Genie9\Zoolz2\Zoolz.exe" "-Delay" HKLM-x32\...\Run: [V0770Mon.exe] => C:\WINDOWS\V0770Mon.exe HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe" /regrun HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Run: [iVONA Reader] => "C:\Program Files (x86)\IVONA\IVONA Reader\IVONA Reader.exe.exe" -t -nosplash HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Run: [Wondershare Helper Compact.exe] => "C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelperSetup.exe" HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Policies\Explorer: [] HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\WINDOWS\SysWOW64\lol.scr [3721216 2016-03-30] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MobileGo Service.lnk [2016-09-13] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\pl-PL\acadficn.dll => Brak pliku FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] C:\Program Files (x86)\mozilla firefox\plugins Task: {2AB12A6D-3B88-4F3C-8CC2-2C18972BED98} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {348EA700-9E29-4A55-BBDC-4733D4A49959} - System32\Tasks\{87DDD544-5C8C-4F66-81A2-CD74E8EAFC5A} => Chrome.exe hxxp://ui.skype.com/ui/0/7.16.85.102/pl/abandoninstall?page=tsMain Task: {4260A90F-F859-4492-8E30-F8A83816CEEB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {582908C5-E4A9-4535-A65E-CD736D805801} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {71C6D247-689D-44CD-8D33-B87B44470D43} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {89D9196C-E171-4718-8965-3DC49E17431A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {A0C7ABF4-4CB7-4A77-A8F6-8C79737BA2AD} - System32\Tasks\{41D908F6-F45D-457F-B97E-F4E5727B7B7B} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.85.102/pl/abandoninstall?page=tsBing Task: {A59C80FB-7922-49EA-8457-20AF5D475126} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C7AF8D28-7E5B-4E14-85A2-A1C757DF9028} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {CA6A5025-404E-4EC6-8DF0-B5E0CA171629} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {CE4AA747-1628-4F76-A9D4-17D88DE72247} - \CCleanerSkipUAC -> Brak pliku Task: {D0F82F61-F0E5-4B47-B6DB-A7C098B44E7E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D57DC54B-DDE8-4CA8-A5DA-9BEE70E2A155} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {EE03EDB2-80D4-4E48-A76E-7F2CC4FF46ED} - System32\Tasks\{40DBD3A8-A1A2-4C32-B629-A9D859EAD836} => pcalua.exe -a C:\Dev-Cpp\devcpp.exe -d C:\Dev-Cpp Task: {F6133A36-BB43-443D-86A6-50846C7686A3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\exefile: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.exe: => HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\scrfile: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.scr: AutoCADScriptFile => HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\comfile: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.com: => DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "7 Taskbar Tweaker" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Discord /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v EvolveClient /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GG /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v iTunesHelper /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Zoolz Tray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ADSKAppManager /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v GrooveMonitor /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tvncontrol /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v V0770Mon.exe /f C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare C:\Users\Michi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wondershare MobileGo.lnk C:\Users\Michi\AppData\Roaming\Microsoft\PowerPoint\Bezpieczeństwo%20w%20terenie%20leśnym304883932433099032\Bezpieczeństwo%20w%20terenie%20leśnym.pptx.lnk C:\Users\Michi\AppData\Roaming\Microsoft\Windows\SendTo\Wondershare MobileGo.lnk C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Michi\Desktop\League of Legends.lnk C:\Users\Michi\Desktop\Pulpit\loader.exe — skrót .lnk C:\Users\Michi\Desktop\Pulpit\Overwatch.lnk C:\Users\Michi\Desktop\Pulpit\Zoolz.lnk C:\Users\Michi\Links\Strefa bez ochrony.lnk CMD: netsh winsock reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Spróbuj wejść w tryb normalny. Jeśli nie uda się, spróbuj z poziomu awaryjnego odinstalować Comodo. Nie pamiętam na czym jest operarty instalator Comodo - jeśli na Instalorze Windows, nie da się go odinstalować z poziomu awaryjnego (w tym stadium nie działa wymagana usługa). 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition (bez Shortcut). Dołącz też plik fixlog.txt.

Skoro temat założony w dziale diagnostyki malware, a system był zainfekowany, to niezależnie od tego, że już używano skanery należy dostarczyć wymagane logi z FRST. To po to, by potwierdzić usunięcie infekcji. Tu zwykle nawet po użyciu automatów czyszczących infekcje i tak mam się czym zajmować (usuwanie pozostałości). Został użyty CCleaner, który czyści Pale Moona, więc tu jako możliwości zostaje jedynie poszukiwanie poprzedniej wersji folderu profilu (zawierającej plik places.sqlite kombinujący historię i zakładki) w ścieżce: %AppData%\Moonchild Productions\Pale Moon\Profiles Jeśli Przywracanie systemu było aktywne, można skorzystać z ShadowExplorer. Jeśli jednak nie było ono włączone lub niestety wyczyszczono poprzednie punkty Przywracania, to już tylko programy do odzyskiwania danych typu Recuva. Przy czym im dłużej działa system, tym mniejsza szansa na odzysk. On może być już nawet niemożliwy.

Skasuj plik C:\delfix.txt z dysku. Temat rozwiązany. Zamykam.

Kończymy. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z tych lokalizacji: D:\, D:\2. A po tym uruchom DelFix. To wszystko.

W rejestrze jeszcze trochę śmieci od Tencent. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\.apk DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER DeleteKey: HKU\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Tencent DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1B5D5DBD-C857-4377-A755-06E50B4AC2B0} DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{639B74F1-0594-432C-97C8-68C8C17A1E1D} DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.apk Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BROWSER_EMULATION" /v "QQPhoneManager.exe" /f Reg: reg delete "HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit" /v LastKey /f Reg: reg delete "HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\Uninst.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix FRST pomyślnie wykonany. AdwCleaner wykrył dużo szczątków adware w rejestrze. Uruchom go ponownie, zastosuj kombinację opcji Skanuj + Oczyść[/] i dostarcz wynikowy log z usuwania.

Deinstalacja Tencent wprawdzie rzeczywiście miała miejsce, ale i tak to nie zlikwidowało wielu obiektów Tencent, którymi zajął się za to skrypt FRST. Wszystko pomyślnie wykonane. Niepożądane obiekty nie są już aktywne. Teraz już tylko poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Spyware Terminator C:\Users\Marcia\Downloads\SpywareTerminatorSetup.exe C:\Windows\Tasks\DriverToolkit Autorun.job DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Tencent;QQPCMgr;QQPhoneManager;MSUser.Default

Wszystko jasne. Przechodzimy do dalszych czynności usuwających, tzn. usunięcie szkodliwych "dostawców drukarki" oraz wykluczeń skanowania. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{38DD0B4A-E4E0-4A57-99EE-DCCB185B4728} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{45965C76-4C88-4512-9358-368483E1C3B1} DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\09giopag DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\3pa8djdb DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\4vmjx6yb DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\58xh0wtw DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\893bdauo DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\bojl99vl DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\c7k58pdl DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\dc7zd7qa DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\dkokgbi6 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\gamcqiam DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\j9ibs5ww DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\nvxmth9r DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\nz71z4zq DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\posyfqav DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\uhpn0hmc DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\vak6jw5r DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\vbn156p9 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\w1kom2ao DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\wpeqfc6u DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\yyut0595 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D42C3A49-ABAF-464B-BBCE-991C3DD395E8} DeleteKey: HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D42C3A49-ABAF-464B-BBCE-991C3DD395E8} Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers /v order /t REG_MULTI_SZ /d "LanMan Print Services\0Internet Print Provider" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers Reg: reg delete "HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Youtube AdBlock\uninstall.exe" /f C:\Users\boogie\AppData\Local\Google\Chrome\User Data\local64spl.dll EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wywołaj kolejne Search Registry (Szukaj w rejestrze) na podany poniżej warunek, a log dostarcz tylko gdy coś zostanie znalezione, w przeciwnym wypadku jest zbędny. MSUser.Default Dodatkowo, zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition, bez Shortcut. Dołącz też plik fixlog.txt.