picasso

Partycja Recovery z natury jest ukryta, więc tam raczej nie spodziewałabym się ingerencji. Niemniej Recovery zrzuci kompletnie nieaktualny system, a Ty już rozpocząłeś aktualizacje (zostaną oczywiście zdegradowane przez Recovery). Aktualizacje powinny nadpisać większość plików systemu, co częściowo rozwiąże problem nieznanych ewentualnych naruszeń w plikach Windows. Gdyby jednak jakiś program wtórny ujawnił problemy z uruchomieniem, wtedy należy go przeinstalować.

Brak widocznych obiektów infekcji które mogłyby być powiązane z efektem (na moment mnie zastanowiła dziwna lokalizacja wpisu Office Timeline Performance Helper, oraz 32-bitowa instancja svchost.exe w procesach). Tylko instalacja adware/PUP, tzn. sponsorowany Bing, ale to nie ma związku. Bingiem zajmę się potem. Z raportów nic dla mnie nie wynika, wg raportów komponenty MSSE działają, a program jest zarejestrowany w Centrum i w momencie wykonywania skanu FRST jego status był oznaczony jako "Włączony". W Dzienniku zdarzeń widać tylko następujący błąd powiązany z programem: Dziennik System: ============= Error: (07/31/2016 10:04:58 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: ) Description: Produkt %ZARZĄDZANIE NT60 napotkał błąd podczas próby aktualizacji podpisów. Nowa wersja podpisu: Poprzednia wersja podpisu: 0.0.0.0 Źródło aktualizacji: %ZARZĄDZANIE NT51 Etap aktualizacji: 4.9.0218.00 Ścieżka źródła: 4.9.0218.01 Typ podpisu: %ZARZĄDZANIE NT602 Typ aktualizacji: %ZARZĄDZANIE NT604 Użytkownik: ZARZĄDZANIE NT\USŁUGA SIECIOWA Bieżąca wersja aparatu: %ZARZĄDZANIE NT605 Poprzednia wersja aparatu: %ZARZĄDZANIE NT606 Kod błędu: %ZARZĄDZANIE NT607 Opis błędu: %ZARZĄDZANIE NT608 Może na początek wykonaj sprawdzanie poprawności plików Windows. Uruchom sfc /scannow i dostarcz przefiltrowany raport: KLIK.

Temat przenoszę do stosowniejszego działu, nie jest to przecież powiązane wcale z infekcją. W raportach FRST mało co widać od Arcabit, drobne autoryzacje w Zaporze Windows, kilka obiektów na dysku oraz załadowany moduł integrujący Arcabit z eksploratorem, który najprawdopodobniej jest odpowiedzialny za obecność wpisów menu kontekstowego: ==================== Załadowane moduły (filtrowane) ============== 2016-07-01 22:50 - 2016-07-01 22:50 - 00225368 _____ () D:\Program Files D\Antywir\bin\arcashl.dll 1. Rozpocznijmy od derejestracji widocznego wyżej modułu arcashl.dll, komenda zostanie załączona w skrypcie FRST, wraz z innymi dodatkowymi operacjami. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: netsh firewall reset CMD: regsvr32 /u /s "D:\Program Files D\Antywir\bin\arcashl.dll" FF user.js: detected! => C:\Documents and Settings\Mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\vep30pal.default-1463316975000\user.js [2016-06-12] FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff => nie znaleziono FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA DeleteKey: HKLM\SOFTWARE\Google C:\Documents and Settings\All Users\Arcabit C:\Documents and Settings\Mariusz\Dane aplikacji\*.* C:\Program Files\Mozilla Firefox\extensions D:\Program Files D\Antywir C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\arcafsav.sys C:\WINDOWS\system32\Drivers\arcawfp.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Jeśli rozszerzenie menu kontekstowego nie zniknie po w/w operacji: 2. Sfery rozszerzeń kontekstowych FRST w chwili obecnej w ogóle nie skanuje. Potrzebne narzędzie skanujące rozszerzenia powłoki tego typu. Zrób raport z Autoruns, o ile nadal działa na XP, bo teoretycznie już brak wsparcia. Jeśli program się nie uruchomi na XP, zamiennie wykonaj log z Silent Runners.

Temat przenoszę do działu Windows. Brak oznak infekcji. W raportach nie widać też żadnych konkretów sugerujących trop. Jedyne co się rzuca w oczy, to: 1. Poniższy powtarzający się błąd usługi Karta inteligentna: Dziennik System: ============= Error: (07/25/2016 08:49:51 AM) (Source: SCardSvr) (EventID: 610) (User: ) Description: Żądanie nie jest obsługiwane.OMNIKEY CardMan 6121 0GET_ATTRIBUTE07 a0 07 00 ... oraz seria innych błędów kategorii Aplikacja które nie wiem jak podpasować. 2. Instalacja ESET Endpoint Antivirus (najbardziej rozbudowany element wtórny i oprogramowanie inwazyjne). Sugeruję sprawdzić czy to nie on jest aby przyczyną opisywanych zachowań. PS. Potem ewentualnie do czyszczenia wpisy szczątkowe, na razie się tym nie zajmuję, gdyż nie ma to znaczenia w kontekście problemu.

Temat przenoszę do działu Windows, to nie jest problem infekcji. Z raportów nie wynika nic konkretnego, aczkolwiek jest tu skomasowanie oprogramowania zabezpieczającego, tzn. dwie rozgałęzione instalacje Avast Internet Security + Trusteer Endpoint Protection, a także "boostery". Może zacznij od deinstalacji Trusteer i reszty dodanego bagażu Advanced SystemCare 9, Driver Booster 3.3, Superb Game Boost 3.0, Surfing Protection, System Mechanic. Po tym zrób nowe raporty FRST dokumentujące zmiany i wypowiedz się czy jest poprawa. Te "boostery" to w większości przypadków zbędne instalacje, niekontrolowane procesy optymalizacyjne, aplikacje wątpliwej reputacji. YAC to program którego należy unikać! Więcej informacji na spodzie listy darmowych programów: KLIK.

Temat przenoszę do działu Windows, nie wygląda to wcale na problem infekcji. Z raportów nic też nie wynika konkretnego, jedyne co mi się kojarzy "na oko" z obniżeniem responsywności to instalacja Kaspersky (część komponentów odświeżana w bliskim zakresie czasowym). Mam pytanie, czy po przejściu na Tryb awaryjny z obsługą sieci występują podobne problemy i przynajmniej część z wyliczanych usług może się uruchomić?

Temat przenoszę do działu Windows, to nie jest problem infekcji. Prawdopodobnie obciążenie generuje usługa Windows Update, to znany i "standardowy" problem już od dłuższego czasu. Od końca 2015 są problemy z usługą na starszych systemach, skan aktualizacji trwa znacznie dłużej oraz obciąża zasoby. Problem ponoć rozwiązuje aktualizacja KB3161608 (aplikuje nową wersję Windows Update Client), którą zastąpiono nowszą aktualizacją KB3172605 (zawiera wszystko co poprzednia plus nowe fiksy).

Temat przenoszę do właściwego działu Windows. Problem już rozwiązany, tylko zaznaczę, że ustawienia UAC były widoczne w raporcie: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0) Domyślne ustawienia to: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) PS. W spoilerze drobne działania poboczne polegające m.in. na usunięciu wpisów szczątkowych (w tym od adware) oraz czyszczeniu Tempów.

Co z częścią "JEŚLI POWYŻSZE NIE POPRAWI SYTUACJI"? Czy próbowałeś tych kroków?

W raportach nie widać oznak aktywnej infekcji Ramnit/Nimnul, poza poniszymi folderami na dysku, które prawdopodobnie były częścią infekcji. 2016-08-01 19:20 - 2016-08-02 12:56 - 00000000 ____D C:\Program Files\goxskaen 2016-07-09 15:42 - 2016-08-03 19:57 - 00000000 ____D C:\Users\Artur\goxskaen Ale jest to sprawdzanie zbyt powierzchowne, by wystawić opinię, że wszelkie ślady infekcji (oraz szkody) zostały zlikwidowane. W tym kontekście bardziej należy wierzyć w wyniki skanów KVRT i Dr. Web. Niemniej niewiadomy zakres infekcji przed leczeniem, niewiadomy poziom naprawy (np. które pliki Windows i programów były zainfekowane i czy aby nie zostały tym procesem uszkodzone). Jeśli wyniki skanów były okropnie rozległe, lepiej byłoby i tak zrobić format dysku po infekcji w wykonywalnych. Druga sprawa, system Vista w fatalnym stanie aktualizacji, łysa edycja, brak Service Packów i wielu innych aktualizacji: Platform: Microsoft® Windows Vista™ Home Basic (X86) Język: Polski (Polska) Internet Explorer Wersja 7 (Domyślna przeglądarka: Opera) Koniecznie do nadrobienia. W przyklejonym były linkowane tylko najgrubsze paczki SP, ale obecnie Microsoft już to usunął. Niezależnie od tego i tak będzie wymagana mozolna wielokrotna runda z Windows Update, by wszystko uzupełnić.

Wszystko wygląda na usunięte, oczywiście w cześci pokrytej przez raport FRST, co jest tylko wycinkiem obrazu. Konieczny jest porządny skan programem zdolnym wykrywać te replikacje plików Brontok w folderach. Dodatkowo, raport FSS wykazuje naruszenia usługi Instrumentacji Windows. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Instrumentacja zarządzania Windows" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,04,00,03,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum] "0"="Root\\LEGACY_WINMGMT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 EndRegedit: Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart Windows. Przedstaw wynikowy fixlog.txt. 2. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST z kwarantanną zawierającą pliki Brontok. Następnie wykonaj pełny skan (a nie "szybki") za pomocą Malwarebytes Anti-Malware i przedstaw wynikowy raport.

Z poprzednim kompem nie skończyliśmy, dostarcz logi końcowe. A tak w ogóle to dopiero teraz do mnie dotarło, że od początku posługujesz się archaiczną wersją FRST Version:06-08-2015. Od tego czasu była kupa aktualizacji i poprawek, kilkadziesiąt wersji co najmniej... Proszę pobierz najnowszy FRST z przyklejonego (KLIK) i zrób świeży zestaw logów z każdego komputera.

Nie podałeś wyników ze skanera Baidu pokazujących jak konkretnie ta detekcja wyglądała. Jedyne co mogę stwierdzić na podstawie raportów, to że nie było żadnych oznak infekcji (tylko strona startowa adware w Chrome, wpis kompletnie nie powiązany z tematem), więc detekcja Baidu mogła być fałszywym alarmem. System został postawiony na nowo, więc temat zamykam.

Prawie kończymy: 1. Zastosuj DelFix, by usunął wszystkie komponenty FRST. 2. Na wszelki wypadek zrób jeszcze skan Hitman Pro. Jeśli cokolwiek wykryje, dostarcz log z wynikami. To wysokie obciążenie zasobów oraz określone pliki w folderze dziada wskazują, że był to Bitcoin miner nastawiony na zbieranie waluty Decred. Czyli raczej "potencjalnie niepożądana aplikacja" (PUP), aniżeli coś groźniejszego. Trudno się zorientować po Twoim raporcie z czym konkretnie ten obiekt powstawał. Gdzie widziałeś tę informację o Skype? Pytaniem jest też co konkretnie się uruchomiło, czy aby nie był to aktualizator Skype? Domyślnie (o ile nie zostanie to ręcznie zmienione) Skype wprowadza usługę Skype Updater ustawioną na start Automatyczny - do wglądu services.msc. Wielkie dzięki za wsparcie!

Wszystko wykonane. Teraz już tylko poprawki na K1: 1. Usunięcie m.in. opornego folderu Kuba. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Administrator\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Kuba Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wprawdzie nie podałeś dokładnego wyniku ze skanera, ale zapewne to ten sam problem co w linkowanym temacie, czyli crack aktywacyjny osadzony w Harmonogramie zadań: Task: {F2999C68-7E1C-4AF6-867B-0E5F5AD90C3A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-10-11] () Ten crack sam w sobie nie jest "infekcją", niemniej będzie on prowokował reakcje niektórych skanerów (częściowo dewastuje go też AdwCleaner), a poza tym jest zbędnym obiektem startowym. Użytkownik w poprzednim temacie nie chciał się pozbyć cracka i "ominął" to zmieniając program antywirusowy. Ja sugeruję by go usunąć. Ta sprawa jest w ogóle nie powiązana z infekcjami oraz wyżej wymienionym crackiem. To wynik niekompletnej deinstalacji AVG TuneUp, który pozostawił m.in. Debugger filtrujący wykonywalny Skype: IFEO\skype.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" Czyli do wykonania następujące operacje: 1. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty szczątkowy wpis AVG PC TuneUp. Następnie pobierz ze strony producenta AVG PC TuneUp, zainstaluj, po czym odinstaluj ponownie za pomocą Panelu sterowania. Mam tu w zamiarze, by ten proces usunął większą grupę obiektów którą obecnie widać od tej instalacji w raportach. Nie jest pewne czy ten proces ruszy skonfigurowany Debugger, więc ten konkretny wpis przetwarzam poniżej w skrypcie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] GroupPolicyScripts: Ograniczenia IFEO\skype.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" Task: {9108DCDA-D296-4088-9300-70D698705613} - System32\Tasks\{0444E28D-5759-4745-87EE-9A512926F665} => launchwinapp.exe hxxp://ui.skype.com/ui/0/7.22.0.109/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {F2999C68-7E1C-4AF6-867B-0E5F5AD90C3A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-10-11] () C:\Windows\AutoKMS DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wygląda na to, że problem został rozwiązany. Obecnie w raporcie widać już pobrane z routera adresy Google: Tcpip\..\Interfaces\{5675eb02-32c0-4a1d-b5f4-ee12cc768d69}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Fix FRST też pomyślnie wykonany. Kończymy: 1. Usuń ręcznie z folderów na Pulpicie (Nowy folder (2) + z pulpitu 29.07.2016) FRST i jego logi. Następnie jeszcze popraw za pomocą DelFix, a także wyczyść foldery Przywracania systemu: KLIK. 2. Zakładam, że router poprawnie zabezpieczyłeś. Upewnij się czy masz najnowszy firmware. Jeśli problem będzie powracał, a wszystkie warunki zabezpieczeń będą spełnione (wliczając firmware), wymiana urządzenia może być trwalszym rozwiązaniem.

Brak oznak infekcji Locky, ani żadnej innej tego rodzaju. Jak co dopiero napisałam w innym temacie: SpyHunter to niepożądany program wątpliwej reputacji, z daleka od niego. Do wykonania tylko poboczne działania: K1: Jest tu trochę odpadków adware i szczątki SpyHunter. Działania do wykonania: 1. Odinstaluj zbędny program Samsunga MyFreeCodec oraz dziurawy QuickTime 7. W QuickTime obecnie krytyczne luki które już nie zostaną załatane, wycofano wsparcie dla Windows, o czym piszę w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-05-15] () [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-08-09] () AppInit_DLLs: C:\ProgramData\Quotenamron\Daltcom.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\TinQvotop.dll => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131030681043664997&GUID=94E87489-71B8-C553-88F9-4FEB135DC170 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131030681043672121&GUID=94E87489-71B8-C553-88F9-4FEB135DC170 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458216701&z=9f8eaf7e5e49264a5e53872g9z1w5b4o7g7q7qet1q&from=wpm0314&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458216701&z=9f8eaf7e5e49264a5e53872g9z1w5b4o7g7q7qet1q&from=wpm0314&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458216701&z=9f8eaf7e5e49264a5e53872g9z1w5b4o7g7q7qet1q&from=wpm0314&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {A9B2227C-647F-4D65-A84E-748E182B6B69} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> {A9B2227C-647F-4D65-A84E-748E182B6B69} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: Filter Results -> {dd4c66b8-f943-4b10-8053-7e9ee39bba4a} -> C:\Program Files (x86)\Filter Results\Extensions\dd4c66b8-f943-4b10-8053-7e9ee39bba4a.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX CHR HKU\S-1-5-21-4010930622-3350516167-3332150687-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\o3l09p6r.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\smry8315.default-1450915760954\extensions\default_newtabff@gmail.com => nie znaleziono Task: {4463B99B-1883-49DE-ABD2-A9E4639032ED} - System32\Tasks\{7A7749B2-3FF9-4495-84DC-94A85E840BDB} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe -c /M{DF57E946-4885-4EEA-A958-D5F82CB21B99} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "QuickTime Task" /f CMD: netsh advfirewall reset DisableService: PLAY INTERNET. RunOuc C:\autoexec.bat C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Logic Handler C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteScout BarCode Generator\ByteScout BarCode Generator on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EaseUS Partition Master 10.5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\Users\Administrator\AppData\Local\{6C6E5967-2405-4DE5-9E98-0E73070ADA79} C:\Users\Administrator\AppData\Roaming\*.* C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Windows\System32\drivers\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware SafeFinder Search, Video Ad Blocker Plus (o ile nadal będą widoczne po wykonaniu punktu 2). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Mam też pytanie czy można usunąć cały folder C:\Users\Kuba - wygląda na odpadkowy folder po usuniętym i nieistniejącym już w systemie koncie. K2: Prócz szczątków SpyHunter, tu wszystko wygląda OK, ale można przeprowadzić następujące akcje: 1. Odinstaluj zbędny program zainstalowany jako sponsor Adobe Flash, czyli McAfee Security Scan Plus, oraz starą wersję Real Alternative 1.52. 2. W Firefox odmontuj niepodpisane cyfrowo i blokowane przez Firefox stare rozszerzenie PEKAO S.A. Sign Plugin. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-08-08] () C:\autoexec.bat C:\Users\Maria\Downloads\SpyHunter-Installer.exe C:\Windows\System32\drivers\EsgScanner.sys DisableService: PLAY INTERNET. RunOuc DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST i uruchom w taki sam sposób jak podane powyżej. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

W żadnych raportach nie widać oznak infekcji Locky. W obliczu braku jakichkolwiek śladów tego rodzaju infekcji komunikat może być związany z aktywnością infekcji ogólnie w sieci Orange. Skan Cybertarczy z tego co rozumiem nie skanuje konkretnie wybranego systemu lecz stawia diagnozę na podstawie IP. Orange przypisuje zmienne adresy IP, mogło być i tak że przydzielony Ci adres IP należał wcześniej do innego rzeczywiście zainfekowanego komputera. Można to przetestować wymuszając rozłączenie/reset urządzenia Orange, by przypisało inny adres IP. Spakować do ZIP, shostować na jakimś serwisie zewnętrznym i dostarczyć link. Ale wątpię, by log GMER dodał coś do obrazu. Są owszem infekcje ransomware szyfrujące dane na Androidach, ale raczej byś się zorientował, że urządzenie jest zainfekowane (brak dostępu do danych, zmieniony PIN, etc). Nie ma narzędzi na Androida zdolnych pracować na podobieństwo FRST, więc nie jestem w stanie sprawdzić urządzenia w taki sposób jak Windows. Ale są różne skanery mobilne od producentów adresujące Android. Możesz wykonać tylko poboczne działania podane poniżej, związane z usuwaniem szczątkowych wpisów (w tym na K1 i K3 stare ślady adware) i dziurawych programów. K1 1. Odinstaluj dziurawe programy Apple i Java: Apple Software Update, Bonjour, Java 8 Update 45, Obsługa programów Apple, QuickTime. Krytyczne luki Apple, które nie zostaną już załatane, Apple zarzuciło support Windows, o czym jest w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\...\Run: [] => [X] HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\...\Run: [AdobeBridge] => [X] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.00000&barid={3FE643FC-5C4D-11E2-846F-BC5FF45CC00C} SearchScopes: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.00000&barid={3FE643FC-5C4D-11E2-846F-BC5FF45CC00C} BHO: Brak nazwy -> {f1abf166-ad38-4bcf-9844-c22b50874909} -> Brak pliku BHO-x32: Brak nazwy -> {f1abf166-ad38-4bcf-9844-c22b50874909} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKLM - Brak nazwy - {f1abf166-ad38-4bcf-9844-c22b50874909} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {f1abf166-ad38-4bcf-9844-c22b50874909} - Brak pliku Toolbar: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku Toolbar: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku Handler: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [bacmhbpcpggpejckjicbghlgdlhgelbc] - C:\Program Files (x86)\ZappAddon\chrome\ZappAddon.crx [2014-05-02] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Błażej\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\Błażej\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {5E7821E9-A7C3-4F36-9623-1117DF06A890} - System32\Tasks\{8422CD23-BB53-4DF7-89A9-13208E46482F} => E:\DiRT\DiRT.exe Task: {90628630-C5BC-4595-BE60-238DEF15577C} - System32\Tasks\{51B659C8-5EE3-4D93-8C26-B1AE30178DAC} => I:\Player\setup.exe Task: {976F738E-319A-48F4-A951-EB554389CCDA} - System32\Tasks\{E81B60D1-16C3-4C5F-BF01-07568D50BD3B} => I:\Player.EXE Task: {B02820FF-1935-41EF-B84C-CB93BFC59556} - System32\Tasks\{7B09849A-21DB-4A4F-82B8-54E7B85B4636} => D:\FREE Word and Excel password recovery Wizard\FreeWordExcel.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\autoRunTest DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpadeCast DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\ZappAddon C:\ProgramData\Microsoft\Windows\Start Menu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HD Tune Pro\HD Tune Pro on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Aktualizacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\Users\Błażej\_-112452660.dat C:\Users\Błażej\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\Setup Audio.lnk C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\Setup QuickStart.lnk C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\User Guide.lnk C:\Users\Błażej\Desktop\Programy\TeamViewer 9.lnk C:\Users\Błażej\Documents\Visual Studio 2012\Projects\Kalkulator klientów\Skrót do Kalkulator klientów.exe.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz Comodo, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. K2 Tu tylko drobne akcje. Odinstaluj starą wersję Java 8 Update 73. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i uruchom w taki sam sposób jak opisane powyżej. Przedstaw wynikowy fixlog.txt. Nowe skany FRST zbędne. K3 1. Podobnie jak wyżej, do deinstalacji Java 8 Update 71. 2. W Operze jest widoczne rozszerzenie adware Jungle Net. Odinstaluj je (o ile widoczne), poniższy skrypt na wszelki wypadek przetworzy folder tego rozszerzenia gdyby nie było jednak widoczne. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {3F673C5F-971E-488D-8563-852A94732CFC} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {F344C5CB-0F21-4E0F-90A7-C8506562F86F} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\Mróz\AppData\Roaming\Opera Software\Opera Stable\Extensions\pijnalchgkhohdglibpjeebomodiccgh EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i uruchom w taki sam sposób jak opisane powyżej. Przedstaw wynikowy fixlog.txt. Nowe skany FRST zbędne.

Brak dokładnych wyników ze skanera Avast jak konkretnie ta detekcja wyglądała, ale wytłuszczona część wskazująca na łączenie z jakąś witryną raczej mówi że to nie był fałszywy alarm. Zwłaszcza, że: Raporty FRST owszem potwierdzają, że Chrome nie jest w porządku. W momencie próby jego instalacji na dysku były profile Chrome, jeden z nich i to ustawiony jako domyślny był szkodliwy. Są tu ślady instalacji adware w postaci podstawionego fałszywego profilu Chrome ChromeDefaultData (wyświetlana nazwa w opcjach Chrome to przypuszczalnie user0). To profil preparowany przez adware, więc reakcje Avast podczas próby instalacji Chrome próbującego zaadaptować ten lewy profil zdają się być jak najbardziej zasadne, a brak reakcji Comodo działa wręcz na jego niekorzyść (o ile oczywiście między deinstalacją Avast a instalacją Comodo nie usuwałaś profilów Chrome z dysku). Do wykonania następujące operacje: 1. Skrypt kosmetyczny usuwający wpisy szczątkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4228526205-2315637213-1605727511-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4228526205-2315637213-1605727511-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> S2 SPVVEngine; C:\Windows\system32\Drivers\spvve.sys [246248 2015-10-29] () U4 RAMDiskVE; Brak ImagePath CustomCLSID: HKU\S-1-5-21-4228526205-2315637213-1605727511-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-14FADBC03BAF}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\Program Files (x86)\Avira C:\ProgramData\1466969923.bdinstall.bin C:\ProgramData\1466970139.bdinstall.bin C:\ProgramData\1466970141.bdinstall.bin C:\ProgramData\empty.ico C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Futuremark C:\Users\Dawid B\AppData\Local\ACCCx3_6_0_248.zip.aamdownload C:\Users\Dawid B\AppData\Local\ACCCx3_6_0_248.zip.aamdownload.aamd C:\Users\Dawid B\AppData\Roaming\QuickScan C:\Users\Dawid B\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Dawid B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Windows\system32\Drivers\avchv.sys C:\Windows\system32\Drivers\spvve.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Należy wykonać konkretne przetasowania profilów w opcjach Google Chrome. Z bieżącego profilu wyeksportuj zakładki, o ile w ogóle jest co eksportować... Następnie w Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, zaloguj się na nowy profil, zamknij okno poprzedniego, wróć do ustawień i skasuj user0. Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa. Dodatkowa uwaga pod kątem instalacji rozszerzeń na nowym profilu: nie instaluj ponownie niejakiego Video Downloader Pro. To rozszerzenie wątpliwej reputacji, pochodzi ze stajni znanej z instalacji adware/PUP. Nie jest powiązane jednak z fałszywym profilem ChromeDefaultData. 3. Zrób nowe logi FRST z opcji Skanuj (Scan) (z Addition, ale bez Shortcut).

SpyHunter to program wątpliwej reputacji, z daleka od niego. To nie jest infekcja Windows tylko infekcja routera, dlatego nie pomoże tu żaden skaner ani "fix" robiony spod Windows. Zakreślony poniżej adres IP jest amerykański, a wg IP pod jakim Cię widzę na forum powinieneś należeć do puli Neostrady: Tcpip\Parameters: [DhcpNameServer] 54.186.51.153 8.8.8.8 Tcpip\..\Interfaces\{5675eb02-32c0-4a1d-b5f4-ee12cc768d69}: [DhcpNameServer] 54.186.51.153 8.8.8.8 Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony działania poboczne: 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje z lukami: Adobe Reader 9.2, Java 8 Update 65. 3. Kosmetyczny skrypt usuwający wpisy odpadkowe, czyszczący tempy oraz bufor DNS. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-27] () S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80160 2015-04-08] (McAfee, Inc.) R3 tapoas; C:\Windows\System32\drivers\tapoas.sys [30720 2012-07-15] (The OpenVPN Project) S4 sptd2; System32\Drivers\sptd2.sys [X] Task: {098BA10A-8F9A-4771-8D74-D33DD3048C63} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {30565CC9-3B9B-495F-BB8E-5A06C60EB940} - System32\Tasks\{E41EC412-94DF-4B1E-B864-CE8A3840BB71} => Chrome.exe hxxp://ui.skype.com/ui/0/7.18.85.109/pl/abandoninstall?page=tsMain Task: {3A7BA0A7-2AC6-4911-AB61-AE610604CB03} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {4B7BC54B-1AA2-4C80-8CA9-07B9DFA606D2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {54DFD4E3-C236-4A41-AACD-D65DFDC2C285} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {65A984DB-124E-48C9-8321-1FDCA6DFC126} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6C8FA0B3-0E6B-432D-A43E-154A1D625807} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7A6DA48A-CFF2-4DCA-A6F2-CFBC8E9B5D79} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {8040A8E0-7E60-487C-850C-C6271CCEBEF7} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\WINDOWS\TEMP\DeleteFolderTask.exe Task: {8302DD23-3107-4BB3-A2D0-298AABF7ABD2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {85C7675E-D687-4823-8FC1-A3665F60180D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {8F95515E-B100-4D59-BEB4-957DADA2BB6D} - System32\Tasks\{8EA4ED6B-40B0-4C4C-8D7E-EB75E3EE0BCB} => pcalua.exe -a C:\RADEK\Programy\vcds\VCDS-Release-10.6.3-Installer.exe -d C:\RADEK\Programy\vcds Task: {9851AD02-6C4D-4554-8E65-65830300432F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {A0D559F3-69A9-49D3-A4D0-750EB8EC9E5D} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {B57C673B-EBFE-4364-A415-4866472F637C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B84FCDF4-D314-4E92-BE82-92AD952DB598} - System32\Tasks\{AD3DF014-89F8-4174-BDDD-74FA268797A0} => pcalua.exe -a C:\Users\RS\AppData\Local\Apps\2.0\ORAZWQA5.9H1\0G0VJANG.LVM\dell..tion_e30b47f5d4a30e9e_0006.0002_6ed9efd02e5cb421\Uninstaller.exe -c uninstall HKLM\...\Winlogon: [userinit] HKU\S-1-5-21-3054135196-845340782-310906622-1001\...\Policies\Explorer: [] IFEO\SppExtComObj.exe: [Debugger] C:\WINDOWS\SECOH-QAD.exe ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers: [DBARFileBackuped] -> {831cebdd-6baf-4432-be76-9e0989c14aef} => Brak pliku ShellIconOverlayIdentifiers: [DBARFileNotBackuped] -> {275e4fd7-21ef-45cf-a836-832e5d2cc1b3} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts-x32: Ograniczenia GroupPolicyScripts-x32\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-3054135196-845340782-310906622-1001 -> {BB85DA07-84FD-4A5F-BBBA-FE97DAC4DEB4} URL = Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Napisy24Update /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v RT-Updater.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BTMTrayAgent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v FAH.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Dropbox /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\kED C:\ProgramData\TEMP C:\Users\RS\AppData\Local\{3B782F07-687A-4CE2-8860-88E2B34DE037} C:\Users\RS\AppData\Local\{613D4527-415C-453A-BBD2-3931B863C4BB} C:\Users\RS\AppData\Local\globalUpdate — skrót .lnk C:\Users\RS\AppData\Local\Google C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\System32\drivers\mfeelamk.sys C:\Windows\System32\drivers\tapoas.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Użyłeś starej wersji FRST Wersja:05-03-2016, najnowsza w momencie zakładania przez Ciebie tematu pochodziła z lipca, a obecnie jest dostępna wersja z dziś. W raportach nadal widać izraelskie serwery DNS oraz różne szczątki adware. Ale problem z Menu Start nie wydaje się w ogóle powiązany z infekcją. W Dzienniku zdarzeń błąd wskazujący na uszkodzenie konta użytkownika, co będzie wymagać założenia nowego konta w Windows: Dziennik Aplikacja: ================== Error: (07/22/2016 06:31:57 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nieokreślony błąd. Nie będę więc czyścić żadnych obiektów strony użytkownika (omijam wszystkie wpisy HKU i C:\Users\komputer), gdyż nowe konto Windows zostanie założone. Działania do wykonania: 1. Odinstaluj stare wersje: Adobe Flash Player 21 NPAPI, Adobe Flash Player 9 ActiveX, Java 8 Update 60, OpenOffice.org 3.4.1. 2. Pobierz najnowszy FRST z oficjalnego linka: KLIK. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{A57061D2-CCE9-454A-9CC3-2D968C7D0AB3}: [NameServer] 82.163.143.171 82.163.142.173 AppInit_DLLs: C:\ProgramData\Quotenamron\Freelight.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\ScotTam.dll => Brak pliku S2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe -f "C:\ProgramData\\DCHP\\DCHP.dat" -l -a S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] U4 WMCoreService; Brak ImagePath Task: {0CF3DA40-3F15-4FAF-A027-263B4B803EDC} - System32\Tasks\{F5EE0A90-3391-47C9-87D6-ED4F633EC525} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {10483E06-8D55-4707-9377-AEFACEFC69C0} - System32\Tasks\{A67DADB8-8F33-498F-8B8B-1A31131924F6} => pcalua.exe -a "C:\Users\komputer\Desktop\Nowy folder (3)\Setup\MS Windows\Installer\Installer.exe" -d "C:\Users\komputer\Desktop\Nowy folder (3)\Setup\MS Windows\Installer" Task: {120EE37F-555D-4B64-BF7E-A54C2DE2A2C7} - System32\Tasks\{67BCE7EA-B3B7-47BD-9757-3A9C37D60A4A} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {23589E06-3CDF-4C72-A32C-D2FF41E2FB96} - System32\Tasks\PriceFountainUpdateVer => C:\Users\komputer\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: {2407C96D-1CE2-4295-B20A-26AAB7978673} - System32\Tasks\{4730AFEB-6094-4591-AE39-A7600F38550D} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {26521CF5-0B89-459C-8A19-DA113ADE1515} - System32\Tasks\{FA2314AF-EA35-4EDE-9DDB-59501346226A} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {448D5EFA-E9EA-4102-B7AF-88062BB806B7} - System32\Tasks\{40EB2E7E-4FF2-4CC1-9252-9B85439077F9} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {466E467E-C9FE-4DC4-A8A3-314D3F5C5E67} - System32\Tasks\{AF719FED-808F-44E6-83F6-27D1DA358455} => pcalua.exe -a "D:\Program Files (x86)\Rockstar Games\GTAIV_spolszczenie_1.0.exe" -d "D:\Program Files (x86)\Rockstar Games" Task: {727AD63C-05DF-42EF-A03F-775A7E700CCF} - System32\Tasks\{8D53EAC8-9281-41DE-9A3E-1DCC9511D782} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {7AF3BC6F-A300-4536-9684-F5634CDAF29B} - System32\Tasks\{2466FBA6-09B6-492A-BCFB-36698DA79F4B} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {8A4B7266-B61D-4F36-AC3B-AB303DBCF82E} - System32\Tasks\{0669DFEE-0A40-4879-A9A6-1334D830D97D} => pcalua.exe -a "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe" -d "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic" Task: {9220FF89-970A-4738-9AA1-D5FD393256C1} - System32\Tasks\komputerAppelsArcV2 => Rundll32.exe TundrasBusying.dll,main 7 1 <==== UWAGA Task: {B64A3209-4549-4ED5-A70C-77749B8025CF} - System32\Tasks\UNELEVATE_10983 => C:\Program Files (x86)\ShopperPro\JSDriver\1.39.0.1578\jsdrv.exe <==== UWAGA Task: {C1227162-2578-480F-A527-A31A53F7BA3F} - System32\Tasks\{475646AC-6818-4E1B-8D1C-908B023BBE15} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {C12D577F-7517-4F70-8037-6F2FCB90B5C8} - System32\Tasks\{FB3CD85A-BE88-4531-89CE-D979D19EBCB8} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {DFC21632-B8A2-462B-85A6-633C44C4DF2A} - System32\Tasks\{155B90CB-B2C4-4DC8-AFA3-EBA5A2BFFB91} => pcalua.exe -a "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\vista_32\setup.exe" -d "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\vista_32" Task: {E3DB4D26-7EF1-476E-B765-E2A283EA1819} - System32\Tasks\{8394803F-EE5E-456A-B5E4-8199980F04A5} => pcalua.exe -a C:\Users\komputer\Downloads\GTAIV_spolszczenie_1.0_www.INSTALKI.pl.exe -d C:\Users\komputer\Downloads Task: {FA85D766-4093-48F6-BFC7-410316BB1DCF} - System32\Tasks\{2DE04FF9-3A41-4A13-AE8A-ECB66B0F9691} => pcalua.exe -a "F:\Setup\MS Windows\Installer\Installer.exe" -d "F:\Setup\MS Windows\Installer" Task: C:\Windows\Tasks\PriceFountainUpdateVer.job => C:\Users\komputer\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-05-27] CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [knnaihaddpogmkclkahpcnhppgapinpe] - hxxps://clients2.google.com/service/update2/crx C:\ProgramData\{00a46192-012c-0} C:\ProgramData\{01975234-712c-1} C:\ProgramData\{058fc7b2-612c-1} C:\ProgramData\{0626c1d3-312c-1} C:\ProgramData\{0720e27c-612c-1} C:\ProgramData\{07602a3f-712c-0} C:\ProgramData\{0dab637d-612c-0} C:\ProgramData\{1f896676-412c-0} C:\ProgramData\{1f941f93-412c-0} C:\ProgramData\{35cf4080-112c-1} C:\ProgramData\03e1102d-4b77-1 C:\ProgramData\03e1102d-3e33-0 C:\ProgramData\f9dd7f44 C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnvSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto IV C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MP4 Converter C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Załóż nowe konto Windows, a stare usuń poprzez Panel sterowania (z zatwierdzeniem usuwania plików z dysku). Nie kopiuj ze starego konta profilów przeglądarek Firefox i Chrome do nowego, bo są zanieczyszczone. Tylko zakładki wyeksportuj przed usunięciem konta. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Skrypt FRST pomyślnie wykonany. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Fix FRST pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder E:\FIRST z FRST i jego logami, następnie jeszcze zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

W raportach nie widać żadnych oznak infekcji. To co wykrył AdwCleaner nie powiązane ze zgłoszonym problemem, zostały wykryte alternatywne profile Firefox kiedyś wstawione przez adware, nieaktywne zresztą (wg FRST bieżącym profilem jest zupełnie inny). Do wykonania poboczne działania: 1. Odinstaluj stare wersje i zbędny program AVG: Adobe Reader 9 - Polish, Adobe Shockwave Player, AVG Web TuneUp, Gadu-Gadu 10, Pasek narzędzi AOL 5.0, QuickTime Alternative 1.76, Real Alternative 1.51 Lite. Uruchom Program Install and Uninstall Troubleshooter. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Norton Internet Security > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {17CDEAF0-AADB-4020-B6B1-5C506A8C5B61} - System32\Tasks\ArcSoft Connect Daemon => C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe Task: {45E3F96B-3470-4AFD-9C65-CBDAA98BAB47} - \klocekWieldHardtackV2 -> Brak pliku Task: {5F27904E-587E-4656-936E-110ED135A9EB} - \WinTaske -> Brak pliku Task: {657F210B-2EBD-4765-9AC6-B7C1F1306CF9} - System32\Tasks\Leader Technologies\PowerRegister\Seagate NA45QHFE Product Registration (klocek) => C:\Users\klocek\AppData\Roaming\Leadertech\PowerRegister\Seagate NA45QHFE Product Registration.exe Task: {DDA7217D-96EF-4261-B144-4946F6FE9964} - System32\Tasks\{9341CD3A-5690-449F-AE93-4DF6A7A43336} => pcalua.exe -a I:\Setup.exe R2 ezSharedSvc; C:\Windows\System32\ezsvc7.dll [129992 2008-02-03] (EasyBits Sofware AS) [brak podpisu cyfrowego] U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 massfilter; system32\drivers\massfilter.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] FF HKU\S-1-5-21-3603805060-1314643310-2562518270-1000\...\Firefox\Extensions: [{F17C1572-C9EC-4e5c-A542-D05CBB5C5A08}] - C:\Program Files\DAP\DAPFireFox => nie znaleziono HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150225 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Leader Technologies DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DisableService: Mobile Partner. RunOuc C:\ProgramData\Temp C:\Users\klocek\AppData\Local\ESET C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\ezsvc7.dll C:\Windows\System32\Tasks\Leader Technologies EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.