picasso

Brak oznak infekcji. Ten komunikat może być wynikiem tego: PS. Możesz wykonać poboczne działania usuwające wpisy puste / śmieciowe i szczątki odinstalowanego Firefoxa: 1. Uruchom Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> Task: {05C663F9-9D29-4776-AA37-266F3DB8B71B} - System32\Tasks\PDVDServ Task => C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.EXE Task: {0C017818-17DD-4F37-88A6-8E1F1DC612C7} - System32\Tasks\{8AC81B1D-7CF1-4FA3-A2B0-A3F88A452D73} => pcalua.exe -a "D:\NFS Carbon\EAUninstall.exe" Task: {19FB4902-68DA-462D-BE1F-D4E38E005046} - System32\Tasks\Safer-Networking\Spybot Anti-Beacon\Refresh Anti-Beacon immunization => C:\Program Files (x86)\Spybot Anti-Beacon\SDAntiBeacon.exe Task: {20EEA30E-FB16-4933-B1FC-B74394B6AA30} - System32\Tasks\{0BAFADCD-1ED6-43B0-B9E7-0931A3759C97} => pcalua.exe -a "D:\Diablo II\Game.exe" -d "D:\Diablo II" Task: {26D04EB5-A5DD-412B-9A78-F5BA4A7610CD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) Task: {54D0B0AA-39C8-493A-8658-464F84D6FAA6} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {68CF97DB-E4FB-49B8-8A09-8D20806082FA} - System32\Tasks\{1773F3F7-D0C0-4BBE-A5BE-4182BB336F4F} => pcalua.exe -a "C:\Users\Jakub\Downloads\Diablo 2 LOD + Dodatki\LOD_109.EXE" -d "C:\Users\Jakub\Downloads\Diablo 2 LOD + Dodatki" Task: {6C611C45-7E68-4392-8661-549E400A1853} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {75A81306-EA6F-4CBA-A1AE-01FDC12E02E2} - System32\Tasks\{3875887A-F900-47A0-9FA1-D486D5676695} => Chrome.exe hxxp://ui.skype.com/ui/0/7.24.0.104/pl/abandoninstall?page=tsProgressBar Task: {7B002E9D-27BA-4AB5-A9F6-DCFD0F460F3A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {A1911CA8-4943-421B-A300-446118A09A2C} - System32\Tasks\{D2FCE7D1-6C75-475F-8B64-369605AA97F0} => pcalua.exe -a "D:\Diablo II\Diablo II.exe" -d "D:\Diablo II" Task: {DC00798B-C5A8-4E1E-8C08-1CF697ED71A0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E32E26E7-4C9D-45A0-8C70-3C9506B7C5C6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {F4F9820B-2FB0-4630-BCF2-86FAF6E2EA98} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F893A745-CC48-4A70-B2DC-EC6ACF0E848D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F934E4AC-FF62-433C-A392-4F7667D6FAE3} - System32\Tasks\McAfee\McAfee Idle Detection Task Tcpip\..\Interfaces\{b7bb15fc-c8f2-4b0c-9d01-2f9d922548f3}: [DhcpNameServer] 150.205.1.2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\IObit\Game Booster 3\BackLnk C:\ProgramData\HitmanPro.Alert C:\ProgramData\Malwarebytes C:\ProgramData\Mozilla C:\ProgramData\Pokki C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hitman - Codename 47 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games C:\Users\Jakub\AppData\Local\Mozilla C:\Users\Jakub\AppData\Roaming\Mozilla C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antaris C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sierra C:\WINDOWS\_detmp.1 C:\WINDOWS\_detmp.2 C:\WINDOWS\_detmp.3 C:\Windows\System32\Tasks\Lenovo C:\Windows\System32\Tasks\McAfee c:\Windows\System32\Tasks\Safer-Networking EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Logi FRST niepotrzebne i je usuwam, wyciąg stanu usługi Instrumentacji wydrukowany w Fixlog. Nie wiem o co chodzi, ale ten import REG robiony Fixem FRST w ogóle nie wykonał się. Zrób to ręcznie. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Instrumentacja zarządzania Windows" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,04,00,03,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum] "0"="Root\\LEGACY_WINMGMT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, potwierdź import do rejestru i zresetuj system. Jeśli otrzymasz jakiś błąd, przepisz dokładnie. Dostarcz log z USBFix z opcji Listing zrobiony przy podpiętych urządzeniach. Nie. Wątek do działu Hardware. Potem założysz tam nowy temat z danymi wymaganymi do diagnostyki dysku twardego: KLIK.

Nie wiadomo co wykrył ESET, ale mogło wcale nie być tej infekcji w systemie. Cytuję swoją wypowiedź z innego tematu: Komputer po formacie, więc już nie można zweryfikować stanu poprzedniego. Obecnie w raportach nie ma oznak czynnej infekcji, do korekty byłyby tylko drobnostki. Na razie to pomijam. Infekcja TDSS jest martwa od lat. Jeśli TDSSKiller wykrył system plików tej infekcji, to być może to jakieś stare archaiczne odpadki nigdy dobrze nie wyczyszczone. Uruchom ESET Hidden File System Reader i dostarcz zrzut ekranu co widzi narzędzie. Skan nie potwierdza modyfikacji MBR.

1. Na początek uwaga, byś omyłkowo nie uruchomił jakiegoś pliku Brontok, jeśli gdzieś jeszcze jest zakamuflowany: wyłącz ukrywanie rozszerzeń plików, a będzie widoczne że to plik EXE podrabiający folder a nie folder. Tzn. w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia dla znanych typów plików. 2. Usługa Winmgmt nadal notowana jako niesprawna - to może być wynik braku resetu komputera (konieczny) między Fixem FRST a nowymi loami FRST. Poza tym, już niewiele zostało w logach. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" S0 ttbietyp; System32\drivers\riyko.sys [X] RemoveDirectory: C:\Avenger RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data CMD: del /q "C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt" CMD: for /d %f in ("C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*bron*") do rd /s /q "%f" Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\winmgmt /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Masa chińskich instalacji oraz infekcja DNS (podmienione pliki Windows dnsapi.dll) i WMI (reinfekuje skróty przeglądarek w przedefiniowanych odstępach czasu). Działania wstępne do przeprowadzenia: 1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Uruchom poniższy skrót deinstalacyjny w Menu Start: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师\卸载鲁大师.lnk -> C:\Program Files (x86)\LuDaShi\uninst.exe () Dodatkowo, wejdź do poniższych folderów. W każdym sprawdź czy istnieje plik deinstalacyjny (prawdopodobne nazwy: uninst.exe, uninstall.exe, uninstaller.exe), a jeśli tak to z prawokliku na plik "Uruchom jako administrator". Jeśli nie znajdziesz plików deinstalacyjnych lub wystąpią jakieś błędy, nie szkodzi, poniższy skrypt załatwi większość spraw. C:\Program Files\SpaceSoundPro C:\Program Files\żěŃą C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\KuaiZip C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\UCBrowser 3. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 22 NPAPI, Adobe Reader XI (11.0.10) - Polish, Java 7 Update 79 (64-bit), Java 8 Update 25, Java SE Development Kit 7 Update 79 (64-bit), Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (oba to odpadki po deinstalacji AVG). 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe R2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] () R2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [216704 2016-09-07] () R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219072 2016-09-07] () R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有) R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [355808 2016-09-07] (DotC United Inc) R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [899984 2016-08-02] () R2 ziphost; c:\program files\ziptool\ziphost.dll [114080 2015-11-30] () U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44264 2016-05-19] (www.ludashi.com) S3 ComputerZ_x64; C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [49152 2016-06-27] (ludashi.com) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-27] () R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-09-07] (WinMount International Inc) S2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-09-07] (WinMount International Inc) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] R1 MaohaWifiNetPro; \??\C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [X] R1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll () ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-09-07] () ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-09-07] () HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [msiql] => C:\Users\Stefan\AppData\Local\Temp\msiql.exe /RUNNING HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [ComputerZ-Tray] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe [2976680 2016-08-24] () HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Policies\Explorer: [RestrictRun] 0 HKLM\...\Policies\Explorer: [RestrictRun] 0 Task: {00083533-60EC-4C15-BA52-EFA455DC414E} - System32\Tasks\{5DC0F6A7-3172-4D09-A1E0-14D850336455} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe" Task: {3CA2C85C-5810-4CF0-B93B-62DA0ACAA9F5} - System32\Tasks\UnregisterNonABICompliantCodeRange => C:\PROGRA~2\8js1E8B\i0o1E8B.bat Task: {5AF3E7FB-C40A-4373-A8D5-F2CE44FFE6DC} - System32\Tasks\Drogoghtsocerse Helper => C:\Program Files (x86)\Woctioncogesh\DrgHelperKlc.exe Task: {5F2B5512-FA12-44B2-9EF3-265F22FD5179} - System32\Tasks\{9D940323-563F-4E1C-9180-680B6CF4C100} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe" Task: {7E55B478-CC77-4672-BAC1-B1ACD22319D9} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-09-07] (Shanghai Guangle Network Technology Ltd ) Task: {9074A077-AD81-427D-86E9-7E8CE265A0EE} - \SMW_P -> Brak pliku Task: {BDE61454-24C8-4F7F-B81C-FB2270245133} - System32\Tasks\{42EF222B-6DE4-40BF-9D91-F141719A754B} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" -c /xuninstall Task: {F266B8A1-FFF9-4640-92BE-5EE2781C175B} - System32\Tasks\{C54ED715-26DF-4DDF-A85E-43143223D61F} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Stefan\Desktop\Skróty\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784, ShortcutWithArgument: C:\Users\Stefan\Desktop\Dysk D\SAMSUNG\sol\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784, ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784, ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-2469171809-464102732-1853336734-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: regsvr32 /u /s "C:\Program Files\żěŃą\X64\KZipShell.dll" CMD: regsvr32 /u /s "C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll" CMD: regsvr32 /u /s "C:\Program Files (x86)\LuDaShi\ComputerZ7_x64.dll" C:\Program Files\SpaceSoundPro C:\Program Files\ZipTool C:\Program Files\żěŃą D:\Program Files\MS.Default C:\Program Files (x86)\30393644-1473274685-3043-3041-363831314531 C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\KuaiZip C:\Program Files (x86)\LDSGameCenter C:\Program Files (x86)\LuDaShi C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\SOEasy.3 C:\Program Files (x86)\SOEasy.4 C:\Program Files (x86)\SOEasy.5 C:\Program Files (x86)\SOEasy.6 C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\WeatherChickn C:\Program Files (x86)\Woctioncogesh C:\ProgramData\ArcSoft C:\ProgramData\AVG C:\ProgramData\Avira C:\ProgramData\AVAST Software C:\ProgramData\cosun C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress C:\uninst C:\Users\Stefan\AppData\Local\30393644-1473281992-3043-3041-363831314531 C:\Users\Stefan\AppData\Local\app C:\Users\Stefan\AppData\Local\Apps\2.0\abril.exe C:\Users\Stefan\AppData\Local\ArcSoft C:\Users\Stefan\AppData\Local\jervitheranaqientviriied C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Stefan\AppData\Local\Mozilla C:\Users\Stefan\AppData\Local\Poker at bet365 C:\Users\Stefan\AppData\Local\Tempfolder C:\Users\Stefan\AppData\Local\UCBrowser C:\Users\Stefan\AppData\Roaming\*.* C:\Users\Stefan\AppData\Roaming\ArcSoft C:\Users\Stefan\AppData\Roaming\Geunfy C:\Users\Stefan\AppData\Roaming\KuaiZip C:\Users\Stefan\AppData\Roaming\Ludashi C:\Users\Stefan\AppData\Roaming\Mozilla C:\Users\Stefan\AppData\Roaming\Profiles C:\Users\Stefan\AppData\Roaming\Softlink C:\Users\Stefan\AppData\Roaming\VDI C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Stefan\Desktop\żěŃą.lnk C:\Users\Stefan\Desktop\Arcsoft TotalMedia 3.5.7.359 keygen.zip C:\Windows\system32\bi3.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\system32\Drivers\VirtualizerDDK.sys C:\Windows\system32\sik C:\Windows\SysWOW64\Drivers\afc.sys Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Wyczyść Google Chrome z adware: Jest tu ustawiony jako domyślny profil zaciphmuqshdreceward, wprowadzony przez adware. Proponuję przeinstalować Google Chrome od zera, przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Przy ponownej instalacji ustaw Chrome jako domyślną przeglądarkę. Obecnie w raportach niepożądany UCBrowser. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Problemem jest infekcja DNS - ustawienie rosyjskiego IP 188.120.239.115. Poza tym, w raporcie także inne problemy wynikające z instalacji adware, np. fałszywe skróty Chrome, Firefox i Opera (widoczne tylko w Shortcut.txt) oraz profile przeglądarek zmanipulowane przez adware. Działania do przeprowadzenia: 1. Za dużo antywirusów. Odinstaluj jeden z nich, Avast Free Antivirus lub Norton Security z kopią zapasową. Przy okazji pozbądź się też starego programu Acrobat.com. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{18976741-40AE-4DF5-AA16-7ED1838898F4}: [NameServer] 188.120.239.115,8.8.8.8 Tcpip\..\Interfaces\{7041BB92-59D1-44B9-B604-4ED6E63B649E}: [NameServer] 188.120.239.115,8.8.8.8 Tcpip\..\Interfaces\{7F4E235C-626C-4E81-8F1E-A054CE6B7897}: [NameServer] 188.120.239.115,8.8.8.8 Tcpip\..\Interfaces\{C4DA79C9-8D05-4941-8F43-3CFC7F503081}: [NameServer] 188.120.239.115,8.8.8.8 HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" HKLM-x32\...\Run: [kbdsprt] => [X] HKU\S-1-5-21-570891128-3581372902-1687710604-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-570891128-3581372902-1687710604-1000\...\Policies\Explorer: [HideSCAVolume] 0 ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku BootExecute: autocheck autochk * sdnclean64.exe S1 mbmiodrvr; C:\Windows\syswow64\mbmiodrvr.sys [4608 2004-04-10] (cansoft@livewiredev.com) [brak podpisu cyfrowego] Task: {0230B5C1-C7E7-40E7-B514-D82B1014C4ED} - System32\Tasks\{8EBB5130-357B-46BF-8704-8DD1D9C4F123} => pcalua.exe -a "D:\Steam\steamapps\common\Arma 2\BEsetup\setup_BattlEyeARMA2.exe" -d "D:\Steam\steamapps\common\Arma 2\BEsetup" Task: {04693EA9-1EC7-409B-ADC3-6D0A7EBB01E6} - System32\Tasks\e-pity2015a_kwiecien => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe Task: {36A183B9-BA4B-4C30-9021-D4C620B21F49} - System32\Tasks\{1C920FDE-4550-4EDC-8E86-9EE83F2E458F} => pcalua.exe -a "D:\Steam\steamapps\common\Arma 2 Operation Arrowhead\BEsetup\Setup_BattlEyeARMA2OA.exe" -d "D:\Steam\steamapps\common\Arma 2 Operation Arrowhead\BEsetup" Task: {99C7EBB7-23C2-4683-BDB4-A7C7380172D0} - System32\Tasks\{F6998F7E-FB67-45C6-81BD-C4E4C097456A} => pcalua.exe -a D:\Programy\VirtualBox\VirtualBox-5.0.12-104815-Win.exe -d D:\Programy\VirtualBox Task: {9D0D4571-D802-4397-A418-BF5536D83A6B} - System32\Tasks\MSISW_Host => C:\Windows\SysWOW64\muachost.exe Task: {BB99410E-37D6-44F6-BA7E-CC6BD1F3FDA2} - System32\Tasks\e-pity2015a_styczen => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files (x86)\Norton Security with Backup\Engine\22.5.2.15\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files (x86)\Norton Security with Backup\Engine\22.5.2.15\Exts\Chrome.crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-570891128-3581372902-1687710604-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-570891128-3581372902-1687710604-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-570891128-3581372902-1687710604-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = FF HKLM\...\Firefox\Extensions: [{C1A2A613-35F1-4FCF-B27F-2840527B6556}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_22.5.2.15\coFFAddon => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{C1A2A613-35F1-4FCF-B27F-2840527B6556}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_22.5.2.15\coFFAddon => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NSBU_22.5.0.124\coFFPlgn FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 CLMirrorDriver; system32\DRIVERS\CLMirrorDriver.sys [X] S3 clwvd7; system32\DRIVERS\clwvd7.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 RivaTuner64; \??\D:\Programy\RivaTuner\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner64.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\withSIX DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\END C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\QuickTime C:\Program Files (x86)\RobotSoft C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\tfsikxnn C:\Program Files (x86)\WinZipper C:\ProgramData\{972DC8CA-126D-23FD-11AA-92876DD12AFD} C:\ProgramData\Little Piano C:\ProgramData\KB Piano C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Temp C:\ProgramData\VSO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3DO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Aftermath C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audio Record Wizard C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audio Recorder Platinum C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter Strike 1.6 Non Steam v32 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eTeks Sweet Home 3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Euro Truck Simulator 2 Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HWiNFO64 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KB Piano 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavalys C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Little Piano C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MBM 5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 Nawie C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ori and the Blind Forest C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerISO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PremiumSoft\Navicat for SQLite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PremiumSoft\Navicat for MySQL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VSO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warships C:\Users\ShastaMan\AppData\Local\arw C:\Users\ShastaMan\AppData\Local\EZSoftMagic C:\Users\ShastaMan\AppData\Local\Hinterland C:\Users\ShastaMan\AppData\LocalLow\Hinterland C:\Users\ShastaMan\AppData\Roaming\COMODO C:\Users\ShastaMan\AppData\Roaming\Vugfus C:\Users\ShastaMan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Audio Recorder Platinum.lnk C:\Users\ShastaMan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\eb52d2edcf7c5f18\Gооglе Сhrоmе.lnk C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antaris C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ArmA 2 C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASIO4ALL v2 C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronics Extreme C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Metin2-Balmora C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MSI Afterburner C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RivaTuner Statistics Server C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SNK PLAYMORE C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\ShastaMan\Desktop\cim\Battle.net.lnk C:\Users\ShastaMan\Desktop\cim\yiff\Macro Recorder.lnk C:\Users\ShastaMan\Desktop\cim\Synthesia 10.1 Full Version\Synthesia.lnk C:\Users\ShastaMan\Desktop\cim\seses\Aventus Patcher — skrót.lnk C:\Users\ShastaMan\Desktop\Nowy folder (2)\WoM2.lnk C:\Users\ShastaMan\Desktop\Nowy folder (2)\World of Warships.lnk C:\Users\ShastaMan\Desktop\Nowy folder (2)\Ореrа.lnk C:\Users\ShastaMan\Desktop\ProgramyKtore Uzywam\Gооglе Сhrоmе.lnk C:\Users\ShastaMan\Desktop\ProgramyKtore Uzywam\Steam.lnk C:\Users\ShastaMan\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Windows\AutoKMS C:\Windows\system32\Drivers\etc\hosts.*.backup C:\Windows\System32\Tasks\Safer-Networking C:\Windows\SysWOW64\EN_*.html C:\Windows\SysWOW64\pl_*.html C:\Windows\SysWOW64\_SSpm C:\Windows\SysWOW64\CmdLineExt03.dll C:\Windows\SysWOW64\mbmiodrvr.sys C:\Windows\SysWOW64\midiwrap3405.deu CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: type C:\Users\ShastaMan\AppData\Roaming\Mozilla\Firefox\profiles.ini EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Całkowity brak wykrytego profilu na dysku, co jest mocno podejrzane (porównaj poniżej co się dzieje w Google Chrome). Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej poniższą komendę. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Usuń widoczny tam profil Firefox, załóż nowy profil i się na niego zaloguj. Google Chrome: Jest tu ustawiony fałszywy profil adware vafuiedtajuthervperdom. Jeśli nie korzystasz z Google Chrome, po prostu odinstaluj przeglądarkę. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

George Żródem infekcji są dziurawe programy z lukami. W raporcie pełno kwiatków tego typu. Na dodatek system Windows kompletnie nieaktualizowany, brak SP1 + IE 11 i reszty łat. Jeśli nie zlikwidujesz źródła, infekcja może wrócić. Pomiń w/w skrypt i zamiennie wykonaj to: 1. Odinstaluj: Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Apple Application Support, Apple Software Update, avast! Free Antivirus, Foxit Reader, Google Chrome, McAfee Security Scan Plus, Mozilla Firefox (3.6.13), QuickTime, Skype web features, Skype™ 4.1. Co potrzebne w najnowszych wersjach doinstaluj, temat przyklejony: KLIK. Aktualizacja Windows zajmie sporo czasu, więc na razie wątek pomijam. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Jessika Na przyszłość, w przypadku takiej modyfikacji Winmgmt wystarczy tylko załączyć linię w Fixlist (z poziomu RE lub Windows). Z tutoriala FRST: Poza tym, przeczytaj o nowych komendach StartRegedit: + EndRegedit:. Już nie ma potrzeby tworzenia plików FIX.REG ręcznie, FRST obecnie załatwia sprawę z automatu (buduje REG i go importuje). PS. A pierwsze podejście z FIX.REG się nie udało prawdopodobnie dlatego, że import rejestru był podany pod Windows a nie pod RE. On przypuszczalnie robił to z RE, skoro nie mógł wejść do Windows. W RE nie istnieje "CurrentControlSet".

Temat przenoszę do działu XP. Również jest ten sam problem z aktualizatorem Google: Error: (09/05/2016 10:56:58 AM) (Source: MsiInstaller) (EventID: 11260) (User: DIE-GAWA) Description: Produkt: InsERT GT 1.44 SP1 -- Błąd 1260. System Windows nie może otworzyć tego programu, ponieważ jest on chroniony przez zasady ograniczeń oprogramowania. Aby uzyskać więcej informacji, otwórz Podgląd zdarzeń lub skontaktuj się z administratorem systemu. (NULL)(NULL)(NULL)(NULL) Error: (09/05/2016 10:47:07 AM) (Source: MsiInstaller) (EventID: 11260) (User: ZARZĄDZANIE NT) Description: Product: Google Update Helper -- Error 1260. System Windows nie może otworzyć tego programu, ponieważ jest on chroniony przez zasady ograniczeń oprogramowania. Aby uzyskać więcej informacji, otwórz Podgląd zdarzeń lub skontaktuj się z administratorem systemu. (NULL)(NULL)(NULL)(NULL) Ten komunikat powinny produkować polityki SAFER, które FRST wykrywa, tylko w logu zero takich śladów. Albo FRST ma jednak limitowany skan, albo jest tu jakieś atypowe naruszenie poza widocznością skanu. Poproszę o skan dodatkowy: Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer /s Folder: C:\Windows\System32\GroupPolicy Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie ma żadnych nowych wieści w materii infekcji Microsoft Decryptor, z wyjątkiem że został rozpoznany jako CrypMic, czyli imitator CryptXXX a nie wariant CryptXXX: KLIK / KLIK. Na chwilę obecną nie ma możliwości odkodowania inną metodą niż dekoder od przestępców. Kontakt z przestępcami nie jest polecany. Nie ma gwarancji, że otrzymasz odpowiedni dekoder lub w ogóle jakikolwiek. W jednym z wcześniejszych linków są nawet wypowiedzi poszkodowanych, że dostarczony dekoder nie zadziałał (błędy w dekoderze). To powtarzalny schemat przy infekcjach CrypMic / CryptXXX. Czy mam przejść do tych działań, czy decydujesz się na format dysku systemowego?

Owszem, to infekcja Cerber: 2016-07-10 22:04 - 2016-07-10 22:04 - 0012382 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.html 2016-07-10 22:04 - 2016-07-10 22:04 - 0010506 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.txt 2016-07-10 22:04 - 2016-07-10 22:04 - 0000090 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.url 2016-07-10 22:04 - 2016-07-10 22:04 - 0000234 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.vbs 1602-05-15 16:07 - 1602-05-15 16:07 - 0001858 _____ () C:\Users\Julita\AppData\Roaming\28C5oHrph-.cerber 1602-05-15 16:07 - 1602-05-15 16:07 - 0001571 _____ () C:\Users\Julita\AppData\Roaming\2lJH8mMKaf.cerber Niestety nie jestem w stanie nic poradzić na zaszyfrowane dane, raczej brak dekodera. Do jednego z wariantów i to tylko przez chwilę był dekoder Check Point wykorzystujący lukę w interfejsie komunikacji malware, ale niestety przestępcy naprawili ten "błąd" w zasadzie błyskawicznie. Możliwość odkodowania Cerber V1 deklaruje Trend Micro Ransomware File Decryptor, ale nie jest pewne czy to w ogóle teraz działa. Jedyne czym mogę się zająć, to widoczne w raportach szczątki infekcji malware oraz obiekty adware/PUP (m.in. lewy program Reimage Repair). Niemniej przy infekcjach szyfrujących dane sugerowany jest po prostu format. Ważne zaszyfrowane dane można skopiować na zewnętrzny nośnik, licząc że w przyszłości ktoś znajdzie rozwiązanie. Decyduj co robimy, czy mozolnie czyścimy co widać, czy format.

Temat przenoszę do działu Windows. Nic tu nie wskazuje na problem infekcji. W Dzienniku zdarzeń są błędy od cracka aktywacji Windows (to raczej nie ma związku) oraz naruszenia struktury plików: System errors: ============= Error: (09/07/2016 01:55:51 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume MUZYKA. Error: (09/07/2016 01:55:51 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume MUZYKA. Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume G:. Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . ==================== Drives ================================ Drive c: () (Fixed) (Total:195.31 GB) (Free:24.21 GB) NTFS ==>[drive with boot components (obtained from BCD)] Drive d: (CARGO) (Fixed) (Total:736.2 GB) (Free:22.41 GB) NTFS Drive e: (Projekty) (Fixed) (Total:465.76 GB) (Free:30.87 GB) NTFS Niektóre odnoszą się do woluminu niedostępnego, ale reszta niewiadoma i może tyczyć woluminu z Windows. Rozpocznij od wykonania operacji z chkdsk, jak sugerują komunikaty. Być może trzeba będzie też temat przesunąć na diagnostykę dysku twardego do działu Hardware. PS. Aplikacja Tlen.pl do deinstalacji. Martwa sieć i komunikator.

Ja tylko dodam, że przed formatem w logu FRST było widać wyraźnie znaki w czym rzecz, tzn. uszkodzenia plików Windows: S2 clr_optimization_v4.0.30319_64; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [124088 2014-04-11] () [Brak podpisu cyfrowego] S3 Fax; C:\Windows\system32\fxssvc.exe [689152 2010-11-21] () [Brak podpisu cyfrowego] S3 KtmRm; C:\Windows\system32\msdtckrm.dll [368640 2009-07-14] () [Brak podpisu cyfrowego] S3 lltdsvc; C:\Windows\System32\lltdsvc.dll [300032 2009-07-14] () [Brak podpisu cyfrowego] R2 lmab_device; C:\Windows\system32\LMabcoms.exe [1045504 2010-03-26] ( ) [Brak podpisu cyfrowego] R2 lmab_device; C:\Windows\SysWOW64\LMabcoms.exe [593920 2010-03-26] ( ) [Brak podpisu cyfrowego] S3 MSDTC; C:\Windows\System32\msdtc.exe [141824 2009-07-14] () [Brak podpisu cyfrowego] S3 MSiSCSI; C:\Windows\system32\iscsiexe.dll [156672 2009-07-14] () [Brak podpisu cyfrowego] S3 WebClient; C:\Windows\SysWOW64\webclnt.dll [206848 2015-07-01] () [Brak podpisu cyfrowego] Error: (09/05/2016 01:07:26 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa System szyfrowania plików (EFS) zakończyła działanie; wystąpił następujący błąd: System szyfrowania plików (EFS) nie jest prawidłową aplikacją systemu Win32. Error: (09/05/2016 01:07:25 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Autokonfiguracja sieci WLAN zależy od usługi Protokół uwierzytelniania rozszerzonego (EAP), której nie można uruchomić z powodu następującego błędu: Autokonfiguracja sieci WLAN nie jest prawidłową aplikacją systemu Win32. Error: (09/05/2016 01:07:25 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół uwierzytelniania rozszerzonego (EAP) zakończyła działanie; wystąpił następujący błąd: Protokół uwierzytelniania rozszerzonego (EAP) nie jest prawidłową aplikacją systemu Win32. Raport FRST jest bardzo limitowany, więc powyższe wyniki to pewnie była tylko część naruszeń, zakres rzeczywisty nieznany. Nie byłeś nawet w stanie uruchomić programów cmd potrzebnych do diagnozy zakresu naruszeń w plikach Windows (piję do sfc), a problem uszkodzonych plików osobistych nie podlegałby nawet temu procesowi, więc format był tu właściwie dobrym rozwiązaniem.

W raporcie nadal widać usługi/sterowniki powiązane z przekierowaniem oraz załadowany moduł vonetframeHelp.dll. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe Reader 9.5.0 - Polish, Facebook Video Calling 3.1.0.521. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 allwatfldsport; C:\Windows\system32\drivers\dxkzfilemgr.sys [140952 2009-07-14] () R2 TMKernel; C:\Windows\system32\drivers\TMKernel.sys [142368 2016-01-24] () R1 vonetframe; C:\Windows\system32\drivers\vonetframe.sys [932872 2016-08-12] () R2 VoVUpdateEngine; C:\Windows\SysWOW64\adnsvirtual.dll [414456 2009-07-14] () CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\WindowsTM C:\ProgramData\TMSetup0122.exe C:\ProgramData\winfirewall C:\Users\admin\AppData\Local\{1E5710D4-E07C-4E35-BD66-F3805C6476C0} C:\Users\admin\Desktop\Continue 7-Zip installation.lnk C:\Windows\vonetframeHelp.dll C:\Windows\system32\drivers\dxkzfilemgr.sys C:\Windows\system32\drivers\TMKernel.sys C:\Windows\system32\drivers\vonetframe.sys C:\Windows\SysWOW64\adnsvirtual.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Zostały dwa aktywne elementy od zainstalowanych programów adware oraz polityki Chrome. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware GameLauncher i HPReyos. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR Session Restore: Default -> [funkcja włączona] S3 cpuz139; \??\C:\Users\Biuro2\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\TEMP C:\Windows\msdownld.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z Shortcut. Dołącz też plik fixlog.txt.

1. Poprzedni skrypt tyczący naprawy Instrumentacji Windows do powtórzenia. Porównaj formatowanie w moim poście z formatowaniem Fixlog - naruszone wszystkie przejścia do nowej linii. Wklejony tekst do Notatnika musi mieć zachowane "entery". Przedstaw wynikowy Fixlog. 2. Jeśli chodzi o reinfekcję Brontok, skrypty z poprzednich operacji są już nieaktualne. I jeszcze mi się wydaje, że MBAM nie widzi wszystkich plików Brontok, gdyż uruchamiałeś aż dwa razy "aplikację-folder" już po skanie MBAM. W związku z tym poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Po tym zrób nowe raporty z FRST.

Zapewne chodzi o usługi CDPUserSvc_Losowy ciąg i/lub XBoxNetApi. W tym przypadku to normalne, to wada Windows 10 Wersja 1607. Przy tych usługach ja także mam ten komunikat, Microsoft po prostu nie wyasygnował opisu dla nich. Które konkretnie usługi, poza Buforem wydruku, mają ten defekt? Wszystkie jak leci? I jakie błędy zwracają kalendarz oraz kalkulator? Nazwy usług są skonfigurowane w rejestrze, by pobierać nazwy z plików. Skoro nadal coś jest nie tak z poborem nazw, to być może jest to jednak problem z dodatkowym naruszeniem plików. Ponadto, nadal w logu Addition widać odczyt na temat dysfunkcji Winmgmt (w konsekwencji podległa usługa Zapory też nie jest uruchomiona) oraz błędy Odmowa dostępu usług FDResPub i HomeGroupProvider. Na razie poproszę o: 1. Uruchomienie sprawdzania sfc /scannow i dostarczenie wynikowego przefiltrowanego raportu: KLIK. 2. Dostarczenie kopii rejestru SYSTEM. Zrzuć kopię rejestru programem RegBak i z kopii zapasowej wyłuskaj plik SYSTEM, spakuj do ZIP, shostuj gdzieś i na PW prześlij link. Analiza może potrwać i nie obiecuję szybkiego przeglądu.

Brakuje tu opisu konstrukcji pewnych funkcji, np. Ulubionych. Gdyby ktoś był zainteresowany, darmowe aplikacje wspomagające: - EdgeManage - Zewnętrzny menedżer Ulubionych. Obsługuje Edge w Wersji 1511 i wyżej, nie obsługuje Edge w RTM ("nie-bazodanowa" budowa). - EdgeSync - Alternatywny synchronizer Ulubionych między komputerami, który nie wymaga konta Microsoftu, ale nie działa automatycznie (wymagane okresowe ręczne uruchomienie procesu synchronizacji). - ViewESE - Narzędzie otwierające bazy danych w formacie ESE (czyli m.in. Ulubione w Edge w Wersji 1511 i wyżej) w trybie "tylko do odczytu".

Klucz MUI jest naruszony, całkowity brak klucza StringCacheSettings. Próba reperacji: 1. Otwórz Notatnik i wklej w nim: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MUI\StringCacheSettings] "StringCacheGeneration"=dword:0000001f EndRegedit: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Wyczyść Dzienniki zdarzeń: prawy klik na przycisk Start > Podgląd zdarzeń. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. 3. Zresetuj system, by zmiany rejestru z punktu 1 zostały wdrożone w pełni, oraz by nagrały się nowe ewentualne błędy w Dzienniku. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz pozytywne zmiany oraz czy coś jest jeszcze uszkodzone.

Temat zostanie przeniesiony do bardziej pasującego działu, tzn. Windows, problem nie wynika z infekcji. Ponadto, wątek został skupiony na usłudze Winmgmt, podczas gdy wszystkie usługi są zdefektowane, a nie tylko Winmgmt. A klucz Winmgmt jest identyczny w systemach Vista do Windows 10. Te objawy mogą produkować następujące defekty: naruszenia w kluczu HKLM\SYSTEM\CurrentControlSet\Control\MUI (StringCacheSettings) lub uszkodzone pliki systemowe z których jest pobierany opis. Drugi wariant wydaje się mniej prawdopodobny, skoro wszystkie usługi są w takim stanie. Dodatkowo, nie jest wykluczone złożenie przyczyn, bo w Dzienniku zdarzeń są błędy usług zwracające "Odmowę dostępu", co z kolei może być efektem uszkodzeń uprawnień w gałęzi SYSTEM. To wszystko może być nierozwiązywalne bez przywrócenia systemu do stanu firmowego (Reset PC). Wstępnie poproszę o więcej danych, by zweryfikować wariant numer 1. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\MUI /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Raporty z FRST zostały wykonane na złych ustawieniach, niezgodnie z opisem. Sekcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Masa zbędnych danych. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [192216 2016-08-09] (Malwarebytes) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-07-21] (Huorong Borui (Beijing) Technology Co., Ltd.) Task: {5E5C1B2B-7BDA-4716-BBD3-FC620F4951DB} - System32\Tasks\{CFF5B5C9-5465-4D05-8F1A-EC22F8CD8C98} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.15.0.102&LastError=404 Task: {9E9E5257-C292-4D1F-8892-CD112DA36514} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "EaseUS Cleanup" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "EaseUS EPM tray" /f C:\Program Files (x86)\Ploqdomzok C:\Program Files (x86)\s1d8202 C:\Program Files (x86)\sbqh C:\ProgramData\Malwarebytes C:\Users\Kamil\IP_Log_Data.js C:\Users\Kamil\AppData\Local\Driver_LOM_8161Present.flag C:\Users\Kamil\AppData\Roaming\EeIQKCHSHPgVUTdGdPR C:\Users\Kamil\AppData\Roaming\EeIQKCHSHPgVUTdGdPRYN.cmd C:\Users\Kamil\AppData\Roaming\KSAaDJSIHghQ C:\Users\Kamil\AppData\Roaming\ClassicShell C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Serious Sam HD - The Second Encounter C:\Users\Kamil\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\kz.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wg wytycznych tu z forum, ale bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Opis wskazuje, że w systemie pojawiła się infekcja szyfrująca dane Microsoft Decryptor (nowa wersja CryptXXX): KLIK, KLIK. W raportach FRST brak oznak aktywnej infekcji (pewnie się już automatycznie usunęła), widać tylko notatki ransom dodane przez infekcję szyfrującą dane (ich widoczność oznacza, że jest "po ptakach", procesy szyfrujące się ukończyły): 2016-07-27 23:07 - 2016-07-27 23:07 - 03276854 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.bmp 2016-07-27 23:07 - 2016-07-27 23:07 - 00238187 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.html 2016-07-27 23:07 - 2016-07-27 23:07 - 00001659 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.txt 2016-07-27 22:59 - 2016-07-27 22:59 - 03276854 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.bmp 2016-07-27 22:59 - 2016-07-27 22:59 - 00238187 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.html 2016-07-27 22:59 - 2016-07-27 22:59 - 00001659 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.txt 2016-07-27 22:45 - 2016-07-27 22:45 - 03276854 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.bmp 2016-07-27 22:45 - 2016-07-27 22:45 - 00238187 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.html 2016-07-27 22:45 - 2016-07-27 22:45 - 00001659 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.txt 2016-07-27 21:42 - 2016-07-27 21:42 - 03276854 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.bmp 2016-07-27 21:42 - 2016-07-27 21:42 - 00238187 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.html 2016-07-27 21:42 - 2016-07-27 21:42 - 00001659 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.txt Ta infekcja nie zmienia rozszerzenia zaszyfrowanych plików, więc na pierwszy rzut oka nie da się ocenić czy i które dane podlegały szyfrowaniu. Ale skoro są notatki ransom, to sugeruje że dane są zaszyfrowane. Sprawdź obojętny plik graficzny czy da się otworzyć. Jeśli nie, dane są zaszyfrowane. Nie ma możliwości odkodowania. Moja rola ewentualnie ograniczyłaby się tu do deinstalacji starych wersji programów (jedna z dróg infekcji szyfrujących dane) i usunięcia notatek ransom. To nie rozwiąże problemu zaszyfrowanych danych.

Problemem jest zadanie w Harmonogramie: Task: {981D2CFE-F50A-4955-A69D-1B956FABCEA5} - System32\Tasks\b0635940GamesterSpadicesV2 => Rundll32.exe NutletJuridic.dll,main 7 1 Działania do przeprowadzenia: 1. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą odinstaluj odpadek Google Update Helper. 2. To system z nietypowym układem kont i sieciowymi ścieżkami (domena?), więc ręcznie usuń pliki zlokalizowane w tej ścieżce: \\spplfapisp02\profiles\b0635940\AppDataW ... oraz folder odinstalowanego Firefoxa: \\spplfapisp02\profiles\b0635940\AppDataW\Mozilla Poszukaj też odpowiednika "AppData\Local" w ścieżce \\spplfapisp02\profiles\b0635940 i zlokalizowanego w nim folderu GamesterSpadices należącego do PriceFountain. Na wszelki wypadek w skrypcie poniżej załączę też "na oko" standardową ścieżkę lokalną. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2690E24D-3FAA-4DA2-A999-CB315CDF37D9} - System32\Tasks\{68096D73-F096-491E-99EE-D32E0E22A1C3} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar Task: {6CB26ACD-A878-4EA4-9B22-E7243A62F4A5} - System32\Tasks\{9B4B3B6B-C47C-4EC0-9B93-C10125AA605C} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar Task: {981D2CFE-F50A-4955-A69D-1B956FABCEA5} - System32\Tasks\b0635940GamesterSpadicesV2 => Rundll32.exe NutletJuridic.dll,main 7 1 U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [28272 2016-08-16] () S1 epp; \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\epp.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\...\Run: [] => [X] Startup: \\spplfapisp02\profiles\b0635940\AppDataW\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk [2016-08-16] HKU\S-1-5-21-1463549253-2724516119-1591476449-153512\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm HKU\S-1-5-21-1463549253-2724516119-1591476449-153512\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1463549253-2724516119-1591476449-153512 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1463549253-2724516119-1591476449-153512 -> {ADB0247F-BFFA-4782-98CE-6AB62EE9DF11} URL = DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Plumbytes Software C:\Program Files\SecureAge C:\Program Files (x86)\Google C:\Users\b0635940\AppData\Local\*.tmp.* C:\Users\b0635940\AppData\Local\file C:\Users\b0635940\AppData\Local\GamesterSpadices C:\Users\b0635940\AppData\Local\Setup1460559 C:\Windows\system32\scan.db C:\Windows\System32\drivers\TrueSight.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {089AD0BE-1190-4059-B584-4F3D4A062577} - System32\Tasks\{AC919971-A2DB-4E97-9C5F-5211BBEA5303} => pcalua.exe -a C:\Users\Wojtek\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=obw Task: {596ED08F-B464-478F-870E-41618E75D4D8} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-06-07] (AVAST Software) Task: {A5A23C51-8A27-4B40-A28E-B4D5A310572F} - System32\Tasks\Wojtek => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Wojtek /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== UWAGA HKU\S-1-5-21-735583447-693508571-541323270-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-735583447-693508571-541323270-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-735583447-693508571-541323270-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\.rdata C:\ProgramData\AVAST Software C:\Users\Wojtek\AppData\Local\file__0.localstorage C:\Users\Wojtek\AppData\Roaming\OEKJKLU C:\Windows\system32\FxsTmp C:\Windows\System32\Tasks\AVAST Software C:\Windows\System32\Tasks\SidebarExecute EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. GMER możemy sobie darować. Dołącz też plik fixlog.txt.

Owszem, to infekcja routera: Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Tcpip\..\Interfaces\{65770778-8535-47CE-8DB2-1F9421AD7170}: [DhcpNameServer] 80.243.191.66 8.8.8.8 Z czym konkretnie jest problem? Tu nie ma innego sposobu niż rekonfiguracja routera wg tych kroków:

Problemem są polityki ograniczeń wprowadzone przez adware. Ale to nie jedyny problem w systemie, dużo innych obiektów adware oraz niepożądany program YAC. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: AnySend, BorderlineInit, DNDownloader version 1.2, gupdate 2.00, OpenEnforcer, PC Data App, Software Version Updater, SystemIncrease, Voicify, WindowsMangerProtect20.0.0.722, WinZip, YAC(Yet Another Cleaner!). - Zbędne programy i stare wersje: Akamai NetSession Interface, Apple Software Update, HP Customer Participation Program 13.0, Java 8 Update 45, Obsługa programów Apple. Jeśli coś zwróci błąd, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {29b8df85-56af-474f-9022-e376793679f9}Gw64; C:\Windows\System32\drivers\{29b8df85-56af-474f-9022-e376793679f9}Gw64.sys [48792 2015-01-04] (StdLib) R1 {edf2e803-e64b-4078-9a9f-33672590ad18}Gw64; C:\Windows\System32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}Gw64.sys [48792 2015-01-01] (StdLib) R2 BirdkissP; C:\ProgramData\Birdkiss\Birdkiss.exe [418688 2016-06-07] () S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer275.exe [235776 2015-12-15] (MustangService) R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [744528 2016-05-16] (Winziper Pvt Ltd.) S2 browserServer_2015.11.03.11.04.21; C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S1 nethfdrv; \??\C:\Windows\system32\drivers\nethfdrv.sys [X] S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {32829499-6B83-4615-BE21-AEA2F940E2F2} - System32\Tasks\AmiUpdXp => C:\Users\Admin\AppData\Local\17719\Updater.exe [2014-10-07] () Task: {9E969D2C-C138-4B7E-83BB-108A84B37871} - System32\Tasks\{132BEDF7-6366-40D8-834D-A5FDC99C9F72} => C:\Users\Admin\Desktop\racer\racer.exe Task: {A5052673-1D3D-4780-AAA8-F854138D0F8C} - System32\Tasks\Superclean => c:\programdata\{30cb99e2-ac34-15bf-30cb-b99e2ac3678a}\hqghumeaylnlf.exe [2014-09-07] (Super PC Tools Ltd) Task: {ADABCD7E-7EC1-4F16-ADD8-B30866D53DB3} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {B588E03C-92C5-45E1-97FF-5EB243089558} - System32\Tasks\{6598B07A-7682-4568-9C94-BEB6C9B0554F} => C:\Users\Admin\Desktop\racer\racer.exe Task: {D588B0B5-7303-4615-AAB2-5812FD121C4D} - System32\Tasks\{D985C018-567F-4116-B6BE-506F228FE222} => C:\Users\Admin\Desktop\racer\racer.exe Task: {E2F7928F-41DD-486F-A3E8-46D801FBCCB7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {EE611302-E0F3-4F3F-BA1D-3F872D4B41E1} - System32\Tasks\{BAC18E7F-E75E-4989-B006-7786F38BB5C9} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Admin\AppData\Local\17719\Updater.exe Task: C:\Windows\Tasks\Superclean.job => c:\programdata\{30cb99e2-ac34-15bf-30cb-b99e2ac3678a}\hqghumeaylnlf.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\RunOnce: [network_adsafiliadosllhs_1] => "C:\Users\Admin\AppData\Local\Temp\\BI_RunOnce.exe" /initurl hxxp://sub.palatalized.info/init/Ie19xciPz/:uid:? /affid "-" /id "0" /name " " /uniqid Ie19xciPz /uuid 199C0C20-D7DA-11DD-99CA-10C37B4AA1F5 (dane wartości zawierają 82 znaków więcej). HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [2041363484] => "C:\Users\Admin\AppData\Local\Temp\tmp72BF.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [1054999252] => "C:\Users\Admin\AppData\Local\Temp\tmp72BF.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [1463939348] => "C:\Users\Admin\AppData\Local\Temp\tmpF315.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [1746088086] => "C:\Users\Admin\AppData\Local\Temp\tmpF315.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [Opos] => [X] Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookGamesNotifier.exe.lnk [2016-05-25] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-2212758980-1354942390-246654559-1000\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.nicesearches.com?type=hp&ts=1463405341&from=87640516&uid=wdcxwd5000aakx-08u6aa0_wd-wcc2ejlkjteskjtes&z=a47ca08d4e0c5a2c95aa316g6zdq9c8z4edwec2z3o","hxxp://www.mystartsearch.com/?type=hp&ts=1436965155&z=1f712d99055da7080ed5a4fg2z1c2q7tdq2w1geo8q&from=cmi&uid=WDCXWD800BEVS-07RST0_WD-WXE707C7041670416","hxxp://www.oursurfing.com/?type=hp&ts=1432270216&z=48b4fe0e95f4ddf6e0344f7g3z3c0o9odm6eeg0m8g&from=cmi&uid=WDCXWD800BEVS-07RST0_WD-WXE707C7041670416","hxxp://www.oursurfing.com/?type=hppp&ts=1432270246&z=cf23c3280e987c19348302cg0zcccoeo2m6e4oae7g&from=cmi&uid=WDCXWD800BEVS-07RST0_WD-WXE707C7041670416" CHR DefaultSearchURL: Default -> hxxp://super-warez.eu/page/2/ ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450940068&z=67858b8102269ba6c43edfeg8z7w3e7t3z6e2e6q9q&from=wpm07173&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1431068392&z=781e004cf3a3c109e398da1g2zdcegeecq8bdc8t8z&from=wpm05083&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431068392&z=781e004cf3a3c109e398da1g2zdcegeecq8bdc8t8z&from=wpm05083&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {2FCFD91F-EB04-41B7-BAA4-864D68C7BD5C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {38E70233-995A-40CA-A3E7-773F85BBEA64} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {7789280C-C846-40B3-B6FB-765DE67FF45F} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {A3AE6C6A-7921-4BFD-9D06-CB18BC99D42A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {DEA91A2C-A374-4F4E-AF0E-C8B2A3B08A78} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {EB14D1A1-CDA2-41E5-B8DB-F6673CBD0EEE} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: Brak nazwy -> {37bb6c9d-3f71-4a2f-aa9d-1a9c4c652c1c} -> Brak pliku BHO-x32: DNS Error Helper -> {9B6B03F1-16CF-4491-BBBB-E872802DD717} -> C:\ProgramData\DNSErrorHelper\bho.dll => Brak pliku FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\autoexec.bat C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\Birdkiss C:\Program Files (x86)\ghokswa Browser C:\Program Files (x86)\VSO C:\Program Files (x86)\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\{30cb99e2-ac34-15bf-30cb-b99e2ac3678a} C:\ProgramData\mntemp C:\ProgramData\Birdkiss C:\ProgramData\TempMoudleSet C:\ProgramData\VSO C:\ProgramData\Media Center Programs\gu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\egzamin2008_gim C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Glyph C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Admin\AppData\Local\Temp-log.txt C:\Users\Admin\AppData\Local\17719 C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Profile 3 C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{FBAB6548-FA92-4B6E-960E-7780B9F8EFEC} C:\Users\Admin\AppData\Roaming\Blowfish.dll C:\Users\Admin\AppData\Roaming\Flotsam.XRu C:\Users\Admin\AppData\Roaming\HodmanAnemone.a C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d83cf69024e31ee3\Adam - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Grzesiek - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Adam - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Grzesiek - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\DreamWorks Dragons Rise of Berk.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Admin\Desktop\Adam\Skype.lnk C:\Users\Admin\Desktop\dysk grześka\Fujitsu-Siemens-Amilo-LI-2727-xp-drivers\sterowniki\Skrót do sterowniki.lnk C:\Users\Admin\Downloads\policy_templates.zip C:\Users\Admin\Downloads\policy_templates (1).zip C:\Users\Admin\Downloads\sh-remover.exe C:\Users\Public\Documents\report.dat C:\Windows\System32\drivers\{29b8df85-56af-474f-9022-e376793679f9}Gw64.sys C:\Windows\System32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}Gw64.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Video DownloadHelper trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Video Downloader professional. To rozszerzenie wątpliwej reputacji, pochodzące ze stajni znanej z instalacji niepożądanych programów. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.