picasso

Tak, ta włączona wtyczka to Adobe Flash (pomimo że jest pod nazwą Shockwave Flash). Potem ewentualnie możesz jeszcze aktywować OpenH264, Primetime, Widevine - te trzy to są natywne wtyczki integrowane w Firefox (w skanie FRST nigdy nie są widoczne). To moje spekulacje, były takie tematy na forum. Mógbyś sprawdzić czy wyłączenie tymczasowe osłony web zmienia postać rzeczy.

Skan rejestru dowoduje, że adware ładowało się jako zarejestrowane biblioteki drukarki oraz wykluczyło się samoistnie ze skanu Windows Defender. Zanim przejdę do usuwania, poproszę jeszcze o pełny wyciąg kluczy Print i Windows Defender. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Tak, bo usuwałam dwa skróty wyróżniające który profil Chrome jest inicjowany (fałszywy od adware lub nowy). Po usunięciu tych skrótów teraz możesz utworzyć nowy przypięty skrót.

Poprawki, jednak zostały jeszcze dwa niepożądane skróty Chrome. Na dodatek pojawiła się nowa niepożądana instalacja Youtube AdBlock, uruchamiana z ukrytych folderów "z kreskami", powielająca plik local64spl.dll w kilku folderach. ==================== Loaded Modules (Whitelisted) ============== 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Program Files (x86)\Youtube AdBlock\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Program Files (x86)\Youtube AdBlock_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\LocalLow\Youtube AdBlock\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\LocalLow\Youtube AdBlock_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\Local\Google\Chrome\User Data\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\Local\Google\Chrome\User Data_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Users\boogie\AppData\Local\Temp_\local64spl.dll 2016-09-14 19:43 - 2016-09-14 19:43 - 00142336 ____H () C:\Windows\Temp_\local64spl.dll 1. W Google Chrome pojawił się nowy wpis adware (prawdopodobnie na skutek synchronizacji z serwerem Google). Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Thorn; C:\Users\boogie\AppData\Local\THORN\Thorn.exe [X] C:\_ C:\local64spl.dll C:\local64spl.dll.ini C:\Windows\Temp_ C:\Program Files (x86)\Youtube AdBlock C:\Program Files (x86)\Youtube AdBlock_ C:\Users\boogie\AppData\Local\Google\Chrome\User Data_ C:\Users\boogie\AppData\Local\Temp_ C:\Users\boogie\AppData\LocalLow\Youtube AdBlock C:\Users\boogie\AppData\LocalLow\Youtube AdBlock_ C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk C:\Users\boogie\Desktop\FOTO SLUB\tort\Creative Cloud Files.lnk C:\Users\boogie\Documents\!!!!ALARM NA SALI\Elmes GSM2 Configurator.lnk C:\Users\boogie\Documents\wykaz_polaczen_podstawowy_02-01-2015_27-01-2015.pdf — skrót.lnk Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. local64spl;AdBlock

Prawie wszystko zrobione, a profil Chrome wrócił do normy. Drobne poprawki, bo nie przetworzyły się dwa skróty szkodników mające nazwy z ekwiwalentami Unicode. Otwórz Notatnik i wklej w nim: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Łukasz\AppData\Local\Google\Chrome\User Data\gholdomphatcoperdom Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Software, nic nie wskazuje na problem infekcji. Jedyne co jest złapane w raportach, to fakt aktywnego przywracania sesji oraz błąd Firefox związany z plugin-container.exe: Error: (09/12/2016 08:54:43 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: plugin-container.exe, wersja: 48.0.2.6079, sygnatura czasowa: 0x57bd3628 Nazwa modułu powodującego błąd: mozglue.dll, wersja: 48.0.2.6079, sygnatura czasowa: 0x57bd2857 Kod wyjątku: 0x80000003 Przesunięcie błędu: 0x0000efe5 Identyfikator procesu powodującego błąd: 0x18c0 Godzina uruchomienia aplikacji powodującej błąd: 0x01d20d25d6013f1a Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe Ścieżka modułu powodującego błąd: C:\Program Files (x86)\Mozilla Firefox\mozglue.dll Identyfikator raportu: 347e7a46-ecc1-4749-9d66-44f740d2ac54 Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Jedyne co mi przychodzi do głowy na teraz, to redukcja ładowanych wtyczek. Zostały wykryte następujące wtyczki zewnętrzne: FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_22_0_0_209.dll [2016-08-15] () FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.50428.0\npctrl.dll [2016-04-27] ( Microsoft Corporation) FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWoW64\Macromed\Flash\NPSWF32_22_0_0_209.dll [2016-08-15] () FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\windows\SysWOW64\Adobe\Director\np32dsw_1217157.dll [2015-02-05] (Adobe Systems, Inc.) FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.68 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll [2015-04-21] (Intel Corporation) FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2015-04-21] (Intel Corporation) FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.50428.0\npctrl.dll [2016-04-27] ( Microsoft Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-29] (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-29] (Google Inc.) FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2016-06-30] (Adobe Systems Inc.) Na początek odinstaluj przez Panel sterowania Adobe Shockwave Player 12.1 (to starsza wersja, w większości przypadków nie jest też ten program potrzebny). Następnie w Firefox w Dodatkach w sekcji wtyczek wyłącz wszystkie wtyczki z wyjątkiem Adobe Flash. Przeładuj Firefox i sprawdź czy są zmiany. Być może wpływ ESET NOD32 Antivirus.

hgps, jak mówię, to nie są pliki zdjęć tylko skróty LNK. Właściwości skrótów (które teraz pokazujesz na obrazku) są znane już z pliku Shortcut.txt i to nic nie wnosi do sprawy, bo skrótu nie zmienisz w zdjęcie. Te pliki są do niczego (będą do usunięcia). Ponawiam pytanie gdzie miały się znajdować właściwe pliki graficzne (JPG, PNG, etc.), w jakiej ścieżce, czy dokładnie tej samej gdzie są skróty? Przeszukaj wszystkie dyski pod kątem przykładowej nazwy pliku graficznego, rezultaty będące skrótami się nie liczą.

Ja tylko dodam, gdyby ktoś inny szukał informacji, że Dr. Web dekoduje warianty infekcji, jeśli infekcja nastąpiła przed czerwcem 2016: Files compromised by CryptXXX can now be decrypted by Doctor Web. Obecnie nie ma innych możliwości. Wprawdzie Trend Micro Ransomware File Decryptor deklaruje obsługę formatu crypz, ale dekodowanie może być tylko częściowe (wynikiem są i tak uszkodzone pliki).

Brak oznak infekcji malware. Widać tu tylko szczątkowe ślady używania "Asystenta pobierania" dobrychprogramów (przy pobieraniu programu Faktury Express 7), inne odpadki oraz śmieci Lenovo. 1. Deinstalacje: - Klawisz z flagą Windows > Programy i funkcje > odinstaluj: Amazon 1Button App, Badanie mające na celu poprawę produktów HP Deskjet 1510 series, CCSDK, Maxthon Cloud Browser, Metric Collection SDK 35, SHAREit (jeśli nie używany), UESDK. Maxthon jest związany z aferą z prywatnością: KLIK. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą zlikwiduj Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] S3 mfeaack01; \Device\mfeaack01.sys [X] Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku Task: {82CF0AC9-856E-4DCF-8EE0-68CD870D41CD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo) Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku Task: {BB1A751C-D87A-4F7D-9CAA-01DBF80279AE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku Task: {D6F4A061-CEFB-4F38-81EC-6E80ECDD3011} - System32\Tasks\Microsoft\Windows\Location\Notifications => C:\Windows\System32\LocationNotificationWindows.exe Task: {DCF2D225-A323-4EEA-8684-CDD53E02BA70} - System32\Tasks\Microsoft\Windows\DiskFootprint\Diagnostics => C:\Windows\system32\disksnapshot.exe Tcpip\..\Interfaces\{1F8F68F4-87F8-4758-B32B-7FABA8C4AD59}: [DhcpNameServer] 150.204.1.2 SearchScopes: HKU\S-1-5-21-2752686036-204500338-1366304317-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\User\AppData\Local\Microsoft\Windows\Application Shortcuts\E046963F.LenovoCompanion_k1h2ywk1493x8\App.lnk C:\Users\User\AppData\Local\Microsoft\Windows\Application Shortcuts\DailymotionSA.Dailymotion_6dqnvyezrysvy\App.lnk C:\Users\User\AppData\Local\Microsoft\Windows\Application Shortcuts\TripAdvisorLLC.TripAdvisorHotelsFlightsRestaurants_qj0v5chwq8f2g\App.lnk C:\Users\User\AppData\Local\Microsoft\Windows\Application Shortcuts\Microsoft.BingTranslator_8wekyb3d8bbwe\App.lnk C:\Users\User\AppData\Local\Microsoft\Windows\Application Shortcuts\Weather.TheWeatherChannelforLenovo_t3yemqpq4kp7p\App.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\User\Desktop\Booking.URL C:\Users\User\Desktop\Continue Faktury Express installation.lnk C:\Users\User\Desktop\Faktury-Express-12203-dp(1).exe C:\Users\User\Desktop\PRO PC Cleaner.lnk C:\Users\User\Documents\PROPCCleaner C:\Users\Public\Desktop\ByteFence Anti-Malware.lnk DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Application Restart #2" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

KOMPUTER Z WINDOWS 8: Uruchom AdwCleaner ponownie, wybierz po kolei oipcje Skanuj + Oczyść. Przedstaw wynikowy log z czyszczenia. KOMPUTER Z WINDOWS XP: To skrypt z 64-bitowego Windows 8 a nie XP, nie mający żadnego zastosowania na XP, ani związku z infekcją pendrive. W raportach z XP nie ma oznak aktywnej infekcji. A co do pendrive, to nie widzę by został wykonany ten zestaw instrukcji:

Rosyjskie rozszerzenia reinstalują się w kółko w Chrome, gdyż są zarejestrowane ich reinstalatory na poziomie rejestru (wpisy typu CHR HKLM-x32). Poza tym, są ustawione rosyjskie serwery DNS (91.109.206.194,98.158.96.96) oraz nadal aktywna usługa "Ghostery Storage Server" (instalowana w grupie ruskiej). Operacje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Ghostery Storage Server; C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe [346624 2016-08-17] () [brak podpisu cyfrowego] Tcpip\..\Interfaces\{58F486DD-7583-4CDC-A8DE-0209DD939032}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{820C23CE-8DC9-4EBA-9569-A78B775FB618}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{8C6ED356-C0DF-4D39-ADA0-BAF5F00A23CF}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{93576207-9A2E-47C2-A63B-32BE74D79751}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{B27F2DF6-92B8-4E29-8227-2ED170ADEB86}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{DE87F1A1-F6EC-4D09-B587-B813C3E4094E}: [NameServer] 91.109.206.194,98.158.96.96 FirewallRules: [{89F61C04-AB02-4363-B0D0-C3D852EDD25E}] => (Allow) C:\Users\Szymon\AppData\Local\Amigo\Application\amigo.exe CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811040" CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx SearchScopes: HKU\S-1-5-21-2855020868-3869322530-1295888790-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2855020868-3869322530-1295888790-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CustomCLSID: HKU\S-1-5-21-2855020868-3869322530-1295888790-1000_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => Brak pliku DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Ghostery Storage Server C:\Program Files (x86)\Temp CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Домашняя страница Mail.Ru, Визуальные Закладки Mail.Ru, Mail.Ru. Po użyciu skryptu FRST nie powinny się już reinstalować Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko wykonane, ale pojawił się nowy aktywny element adware. Poprawki: 1. Otwórz Notatnik i wklej w nim: (Trend Corp.) C:\Users\admin\AppData\Roaming\setup1\TSvr.exe R2 IhPul; C:\Users\admin\AppData\Roaming\setup1\TSvr.exe [210128 2016-08-12] (Trend Corp.) Task: {EBC54C24-E30F-4495-8AB0-E9C96FDFE9C9} - \ChelfNotify Task -> Brak pliku HKU\S-1-5-21-4038774321-322845962-4165907321-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\admin\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://search.avast.com/AV772/ SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\ProgramData\cwinpc C:\Users\admin\AppData\Roaming\setup1 C:\WINDOWS\SysWOW64\pl.html C:\WINDOWS\SysWOW64\pl_146046.html Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko pomyślnie wykonane. Kończymy: 1. Otwórz Notatnik i wklej w nim: Task: {09B54DF9-A9F9-4BF1-8945-9A1A5103891A} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG\AVG PC TuneUp\OneClick.exe Task: {79D63C87-5185-4AC8-AFE9-B58B4B869EF5} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe RemoveDirectory: C:\MATS RemoveDirectory: C:\Quarantine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Przez SHIFT+DEL (omija Kosz) upłynnij FRST i jego logi z folderu: C:\Users\Żaneta\Documents\diagnostyka 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Logi powinny być załączone z osobna, brak też trzeciego obowiązkowego pliku FRST Shortcut.txt. Temat przenoszę do właściwego działu, tzn. diagnostyki infekcji, gdyż omawiana klasa to pozostałość po adware. Prawdopodobnie klucz klas "Unknown" jest skojarzony z nieistniejącym już programem adware. Wstępnie będę tylko pobierać dane o klasach (edycje dopiero w drugim podejściu). Dodatkowo do wyczyszczenia są Tempy, drobne śmieci (odpadkowe / puste wpisy) oraz pozostałości niepoprawnie odinstalowanego Proxifiera. Działania do przeprowadzenia: 1. Google Chrome jest tu w wersji development. Skoro występują tu ślady adware Multiplug ("YooutubeeAdBLLocke"), przypuszczalnie to właśnie adware przekonwertowało edycję stabilną do tej postaci i należy przeinstalować przeglądarkę od zera. Przy okazji odinstaluj stare wersje i zbędny program HP: Adobe AIR, Adobe Shockwave Player 12.0, HP Customer Participation Program 13.0, Java 8 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winsock: Catalog5 07 C:\Windows\SysWOW64\PrxerNsp.dll [56424 2012-11-22] () Winsock: Catalog5-x64 07 C:\Windows\system32\PrxerNsp.dll [57448 2012-11-22] () Task: {49CAE9FF-DF32-48E1-8920-770C1AE506E8} - System32\Tasks\{1F18FC31-3DA1-4FA2-88A1-52C2A30B9567} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {64436CC6-553E-4815-A48A-EFE14475F0D8} - System32\Tasks\{4E44C36A-E3A4-48B5-86A1-73D0EEB00C48} => pcalua.exe -a C:\Users\Mati\Downloads\RW2009setup.exe -d C:\Users\Mati\Downloads Task: {6869087B-C180-416A-8895-7796DA81F697} - System32\Tasks\{D800E1D9-F658-4167-A4E6-2E2D5C28DF29} => pcalua.exe -a "C:\Program Files (x86)\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=17 Task: {6BE95FB3-0A10-4413-8C01-003D80718D66} - System32\Tasks\{C2FDA208-A79E-4B58-A282-58FFAF728BAA} => C:\Users\Mati\Downloads\Need for Speed Underground 2 PL\Keygen & Patch & Crack\Crack 1.2\SPEED2.EXE Task: {6C752971-78E1-4A8D-9810-F04B1DCA6E46} - System32\Tasks\{CBD6E9F2-C465-4724-B8FF-794E8AE423C4} => pcalua.exe -a C:\Users\Mati\Desktop\NFS_ProStreet_Booster_Pack_tool\NFSPSBoosterPack.exe -d C:\Users\Mati\Desktop\NFS_ProStreet_Booster_Pack_tool Task: {6D7A136E-838F-4503-9767-395BAAE68C0F} - System32\Tasks\{7F14CB24-C768-44F6-9342-A4E030B84336} => C:\Users\Mati\Downloads\Need for Speed Underground 2 PL\Keygen & Patch & Crack\Crack 1.2\SPEED2.EXE Task: {778DE264-FB73-4FCB-9F80-8CA83A1DBAA4} - System32\Tasks\{CA002BCA-0B1B-403D-BFEB-57EA7DF4DB62} => C:\Users\Mati\Downloads\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run)\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run).exe Task: {8B9A58DA-C471-4CEF-B05D-F2C06EEC313C} - System32\Tasks\{5D30DFBA-5E59-483E-9EED-7B571D614B92} => pcalua.exe -a C:\Users\Mati\Downloads\setup(1).exe -d C:\Users\Mati\Downloads Task: {964EDBF1-40F6-4721-A054-B44B33BD54B1} - System32\Tasks\{7D45E101-DCA7-49B2-A0A9-D3B8914DB52E} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {B14EC349-8374-4AAC-8EF2-80C2179D434F} - System32\Tasks\{8208E0EB-06AB-4211-8A5F-CB3C9D747165} => pcalua.exe -a C:\Users\Mati\Downloads\VirtualBox-4.3.20-96997-Win(1).exe -d C:\Users\Mati\Downloads Task: {B32AAFE4-74A7-447C-9920-1C37AD3D19D2} - System32\Tasks\{BEAC4FD1-644D-4466-B2C4-064466CF6112} => pcalua.exe -a "C:\Program Files (x86)\Ubisoft Studios\Zombi\Support\Installers\GDFInstall.exe" -d "C:\Program Files (x86)\Ubisoft Studios\Zombi\Support\Installers" Task: {B4FFC200-A3D3-48CD-BBD5-97C74954DAAE} - System32\Tasks\{C6B68A44-CFDE-4F02-AFB2-55F2DAF21A82} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {B50433E8-C7B2-4B0A-8EF7-619FDE447765} - System32\Tasks\{28DC3871-FA8C-4CCB-A69B-C133A73E20E8} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {C29C6286-9710-49A7-A993-B1142429BAD4} - System32\Tasks\{0F11F36A-5495-492B-93FA-DF26285BA183} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {CBD3CC4F-6199-43BB-88D0-3738DA69B74F} - System32\Tasks\{5DF46304-91CE-4E5B-8B4A-81564DA276FA} => pcalua.exe -a C:\Users\Mati\Downloads\dotNetFx35setup(1).exe -d C:\Users\Mati\Downloads Task: {CEAAB02F-23DE-4ED9-AC20-501662C693CA} - System32\Tasks\{9A13FBD3-C4D6-4988-9ECA-380431AD569A} => C:\Program Files\Rockstar Games\Grand Theft Auto V\PlayGTAV.exe Task: {D49D641D-C7A0-4753-A821-13F9EBD97F58} - System32\Tasks\{74F1C71F-101F-4CBD-AEC2-B932A33AE927} => pcalua.exe -a "C:\Program Files (x86)\Steam\steamapps\common\Left 4 Dead 2\bin\addoninstaller.exe" -d "C:\Program Files (x86)\Steam\steamapps\common\Left 4 Dead 2" -c /register Task: {E23028BF-8EE5-43D3-A0C6-82D7CE1C415D} - System32\Tasks\{D8254A74-75DE-4C25-BBB1-2143F9E2BCAC} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {FA1953E6-E58F-4ED3-87A7-CDA8438D1B68} - System32\Tasks\{17E1EBD4-BF2B-4A80-9B84-A4B0F443D3D8} => C:\Users\Mati\Downloads\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run)\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run).exe Task: {FE2154A0-813F-494E-8A2E-FC867F2C0CB0} - System32\Tasks\{2ACD87F0-C08E-4D7A-91DF-3971D2CB193C} => C:\Users\Mati\Downloads\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run)\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run).exe CustomCLSID: HKU\S-1-5-21-2663191338-1560983532-3104920657-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Mati\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku HKU\S-1-5-21-2663191338-1560983532-3104920657-1000\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe HKU\S-1-5-21-2663191338-1560983532-3104920657-1000\...\Policies\Explorer: [HideClock] 0 HKU\S-1-5-21-2663191338-1560983532-3104920657-1000\...\Policies\Explorer: [NoFind] 0 HKU\S-1-5-21-2663191338-1560983532-3104920657-1000\...\Policies\Explorer: [NoViewContextMenu] 0 GroupPolicyScripts: Ograniczenia S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] U0 sr; Brak ImagePath FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-2663191338-1560983532-3104920657-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\Mati\AppData\Roaming\update.dat C:\Windows\system32\PrxerNsp.dll C:\Windows\SysWOW64\PrxerNsp.dll Reg: reg query HKLM\SOFTWARE\Classes\Unknown /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Uruchom FRST ponownie, w polu Szukaj wklej poniższą frazę i klik w Szukaj w rejestrze. Dostarcz wynikowy SearchReg.txt. YooutubeeAdBLLocke

Będę sprawdzać polityki Windows Defender ustawione w rejestrze. To nie jest raczej związane z infekcją. Być może: nie działa usługa wyszukiwania, naruszone komponenty systemowe, wadliwe rozszerzenie powłoki eksplorer. To normalne. Twój system nie obsługuje edycji gpedit. Ta możliwość jest w Pro i Enterprise. Platform: Windows 10 Home (X64) Język: Polski (Polska) Nie próbuj przypadkiem instalować nieoficjalnych paczek rzekomo implementujących gpedit na edycjach Home. To nie działa poprawnie. W systemie widać tylko szczątki infekcji i odinstalowanych aplikacji. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny program Lenovo Experience Improvement. Jeśli nie korzystasz, możesz się też pozbyć REACHit i SHAREit. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń Metric Collection SDK i Metric Collection SDK 35. Dwie pozycje, więc program należy uruchomić dwa razy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: C:\ProgramData\Konksolex\ZoneGotam.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Konksolex\Hattraxtouch.dll => Brak pliku ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3562009082-1077438095-1519389639-1001 -> {046BF511-2AAC-4E4A-96F8-813EB01E3F81} URL = S2 Citdhwa; "C:\Users\OSHI\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\1.5.471.0\McCSPServiceHost.exe" [X] S2 nplus; "C:\Program Files\ktip\ktip.exe" /s iid=8202248 did=APSFTuto4PC sid=11 ref=42b4b248-27ad-c56a-8635-19532422e091-PolicyMac id=2f06fafcae001e9deaa8c16f5bb034930462277e3185461210b98f9f4f562a1f [X] S4 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X] R1 ZAM_Guard; C:\WINDOWS\System32\drivers\zamguard64.sys [203680 2016-08-14] (Zemana Ltd.) S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {5C6D597E-D422-4F1F-ACD9-DB72AB5CADD6} - System32\Tasks\PDVDServ12 Task => C:\Program Files (x86)\Lenovo\PowerDVD12\PDVD12Serv.exe Task: {83579E3D-859E-4993-94E8-78C5A414E94B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {8A5B1FAF-F2BC-4DD3-BA36-0860DF12FE67} - \{CF64F1F3-5270-43E2-8720-4927EC49D27F} -> Brak pliku Task: {B2B5E1D6-758F-4DF0-91BB-83349233FD95} - System32\Tasks\{9B7C31D8-3596-4F2E-A6F3-D9C67824A619} => pcalua.exe -a "C:\Program Files (x86)\ContentPush\uninstall.exe" -c /uninstall Task: {EC76D032-914D-4187-927B-1887EE2ED5D7} - System32\Tasks\Dahashhecech Reports => C:\Program Files (x86)\Phervck\DahashhecechReportszlt.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B6790A07-E8FA-4B86-844E-EA12EFC94972} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Plumbytes Software C:\Program Files\żěŃą C:\Program Files\nplus C:\Program Files (x86)\bsgB99D C:\Program Files (x86)\sbqh C:\Program Files (x86)\Security Task Manager C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\Winamp C:\Program Files (x86)\yu6D58C C:\Program Files (x86)\Zemana AntiMalware C:\ProgramData\AVAST Software C:\ProgramData\SecTaskMan C:\Users\OSHI\AppData\Local\cooqolemetetionsuzaward C:\Users\OSHI\AppData\Local\Tempfolder C:\Users\OSHI\AppData\Local\UCBrowser C:\Users\OSHI\AppData\Local\Zemana C:\Users\OSHI\AppData\LocalLow\Company C:\Users\OSHI\AppData\Roaming\*.* C:\Users\OSHI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\OSHI\AppData\Roaming\Mozilla C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\ZAM.krnl.trace C:\WINDOWS\system32\Drivers\zamguard64.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\pido CMD: netsh advfirewall reset Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\WSearch /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: S2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [X] StartMenuInternet: IEXPLORE.EXE - iexplore.exe RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\WINDOWS\erdnt Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Czyli wszystko w porządku. Na zakończenie, o ile już tego nie zrobiłeś, przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST z kwarantanną oraz FRST i jego logi. Wyczyść też foldery Przywracania systemu: KLIK. To wszystko.

Jedyne co ja tu widzę, to niedomyślne ustawienia UAC: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 2) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) Domyślne to: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) Wejdź do Panelu sterowania do ustawień UAC, przesuń suwak na pozycję domyślną i zatwierdź. Zresetuj system. Podaj czy są zmiany.

Poprawki: 1. Nie został odinstalowany zbędny program HP Customer Participation Program 13.0. 2. W Google Chrome nadal ustawienia startowe adware. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem Google. 3. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{1678b813} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{b2902a13} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{c7035300} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{c6a5f59a} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PCData App HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Admin\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\PCDApp RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Admin\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Do wglądu te wątki: KLIK, KLIK.

1. Pomimo użycia RepairDNS nadal w raporcie FRST widać infekcję pliku C:\Windows\SysWOW64\dnsapi.dll. Powtórz operację z RapairDNS i dostarcz wynikowy log RepairDNS.txt. 2. Kolejna operacja do przeprowadzenia przy podpiętych pendrive. Zakładam, że nadal są mapowane pod literami F i H, w przeciwnym wypadku w skrypcie podstaw pasujące litrery. Otwórz Notatnik i wklej w nim: CMD: del /q "F:\Removable Drive (16GB).lnk" CMD: del /q "H:\RYSZARD (8GB).lnk" CMD: attrib /d /s -s -h F:\* CMD: attrib /d /s -s -h H:\* CMD: ipconfig /flushdns RemoveProxy: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\McAfee RemoveDirectory: C:\ProgramData\McAfee Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Jeśli wszystko pójdzie dobrze, na obu pendrivach odkryje się folder "bez nazwy", do którego infekcja przesunęła dane. Wszystko przenieś poziom wyżej, a folder "bez nazwy" skasuj przez SHIFT+DEL (omija Kosz).

1. Wprawdzie zadanie pomyślnie wykonane, ale został wykonany skrypt przed moją edycją. W pierwszej chwili nie zauważyłam Picasy od Google na liście zainstalowanych i mając w zamiarze usunięcie szczątków Google Chrome, załączyłam globalne obiekty Google. Potem się zreflektowałam i poprawiłam ścieżki zawężając do usuwania tylko obiektów Chrome, ale jak widać zrobiłam to za późno. Należy przeinstalować Picasę. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tylko się upewnię: synchronizacja obejmowała tylko element na dysku, czyli zadanie w Harmonogramie nie odtworzyło się?

To nie wygląda na problem infekcji, temat zostaje przeniesiony do działu Sieci. W kwestii problemu zasadniczego, w raportach brak konkretów, ale upewnij się że problemu nie tworzy po prostu stary pakiet G DATA TOTAL PROTECTION z wbudowanym firewallem. Na próbę program odinstaluj. Jeśli nie przyniesie to rezultatów, dostarcz raporty wymagane działem Sieci: KLIK. PS. W spoilerze drobne działania poboczne (czyszczenie Tempów, reset pliku Hosts i usunięcie drobnych szczątkowych wpisów), nie związane z problemem:

Zabrakło trzeciego obowiązkowego raportu FRST Shortcut.txt. Owszem, problemem m.in. były skróty Chrome ustawione na start przeglądarki z innego profilu wprowadzonego przez adware (ChromeDefaultData2) i ładujące zewnętrzne rozszerzenie: ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\boogie\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2 Jeden ze skrótów już odpiąłeś, zakładam że to ten ze ścieżki "User Pinned" i go ominę w usuwaniu. Ale są inne problemy widoczne, tzn. nadal aktywne zadanie adware w Harmonogramie oraz polityki oprogramowania blokujące coś w Chrome. Do usunięcia będą też różne szczątki po odinstalowanych programach. Czyli do wykonania następujące działania: 1. Odinstaluj bardzo starą dziurawą wersję Adobe Flash Player 10 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION Task: {15ED63B3-C33A-48C0-8D40-DF82716A3FF2} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\PROGRA~4\ps3d6lkk\8ux7y.js Task: {1642C0E6-7B9E-4196-B81D-B79E5860E0F8} - System32\Tasks\{E8E6B69C-EE66-44AE-9890-706979C4C9A7} => pcalua.exe -a C:\Users\boogie\Downloads\Programy\TrafficShaper\TrafficShaperXpSetup.exe -d C:\Users\boogie\Downloads\Programy\TrafficShaper Task: {6A97ADB3-D41F-411A-8ED4-26C26DD2F268} - System32\Tasks\Ksation Schedule => C:\Program Files (x86)\Sieyhokesy\placty.exe [2016-09-13] (CHENGDU YIWO Tech Development Co., Ltd) Task: {F119DBC5-7536-41E4-B1A9-CD5B6711E4F8} - System32\Tasks\{A0C267A5-D070-4D3F-94C3-954A246C02EB} => pcalua.exe -a "C:\Program Files (x86)\Sieyhokesy\placty.exe" -c 4921cc4c-65ff-4aba-8595-517060699f5d "/k={6DE5D787-248D-499B-9284-6681D68BA37C}" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\33060297.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\70053003.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81472886.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\83008810.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\33060297.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\70053003.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81472886.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\83008810.sys => ""="Driver" HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\...\Run: [Antamedia DBServer AsService] => 0 S2 Citdhwa; "C:\Users\boogie\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S4 qahvpk; no ImagePath S3 ndisahMP; system32\DRIVERS\ndisah.sys [X] S2 nldrv; \??\C:\Program Files\Locktime Software\NetLimiter 4\nldrv.sys [X] S1 rtdiftex; \??\C:\Windows\system32\Drivers\rtdiftex.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] GroupPolicy: Restriction - Chrome <======= ATTENTION ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdAnti DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Antamedia DBServer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_5F5250ADB2CFD375AE8B1D217CB54004 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Overwolf DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RtsFT DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Seviler DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svchost0 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\win_en_77 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\win_en_77_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Antamedia C:\Program Files (x86)\AdAnti C:\Program Files (x86)\9j4t1kht C:\Program Files (x86)\NetPeeker C:\Program Files (x86)\ps3d6lkk C:\Program Files (x86)\sbqh C:\Program Files (x86)\Sieyhokesy C:\Program Files (x86)\SoSoIm_3 C:\Program Files (x86)\SoSoIm_4 C:\Program Files (x86)\SoSoIm_5 C:\Program Files (x86)\SoSoIm_6 C:\Program Files (x86)\Traffic Shaper XP Client C:\Program Files (x86)\Traffic Shaper XP Server C:\Program Files (x86)\win_en_77 C:\Program Files (x86)\WTFast C:\Program Files (x86)\Y2Go C:\ProgramData\zdhvmnqp.xgw C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Database Server C:\ProgramData\HitmanPro C:\ProgramData\SeriousBit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Traffic Shaper XP C:\Users\boogie\AppData\Local\uts.ini C:\Users\boogie\AppData\Local\AAA_Internet_Publishing,_ C:\Users\boogie\AppData\Local\Animiprujersp C:\Users\boogie\AppData\Local\Overwolf C:\Users\boogie\AppData\Local\Tempfolder C:\Users\boogie\AppData\Local\THORN C:\Users\boogie\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 C:\Users\boogie\AppData\LocalLow00000000003B40E8 C:\Users\boogie\AppData\LocalLow00605890 C:\Users\boogie\AppData\LocalLow02F00070 C:\Users\boogie\AppData\LocalLow\Company C:\Users\boogie\AppData\Roaming\GameLauncher C:\Users\boogie\AppData\Roaming\Hemkajdoa C:\Users\boogie\AppData\Roaming\Locktime Software C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\boogie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antamedia C:\Users\MSUser.Default C:\Windows\Joberphlusisp C:\Windows\NetPkr.str C:\Windows\system32\wofo C:\Windows\system32\Drivers\nbdrv.sys C:\Windows\SysWOW64\bcevent.dll CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt.

To co opisujesz to jest to co zauważyłam w Shortcut.txt. Otwierasz skróty LNK a nie pliki zasadnicze, a skróty kierują na nieistniejący plik Office: Pytaniem jest: gdzie leżą originalne pliki graficzne JPG, PNG, etc. (a nie skróty LNK do nich).

Folder C:\FRST Cię nie interesuje (służy do innych operacji). Chodzi o folder z którego uruchamiasz pobrany FRST, czyli w tym przypadku katalog Pobrane: Uruchomiony z C:\Users\Łukasz\Downloads