picasso

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Był tu stosowany ComboFix i na przyszłość: KLIK. Obecnie nie jest to nawet zbyt dobry program do usuwania adware/PUP, większą specjalizację w tej materii ma np. (również tu stosowany) AdwCleaner. Jedyne co widać w raporcie, to 3 podejrzane sterowniki gamzexalias + viavkrext + vonetframe i związane z nimi moduły. Przy okazji będę także adresować poniższe błędy w Dzienniku zdarzeń poprzez reset plików idstore.*: Dziennik System: ============= Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 gamzexalias; C:\Windows\system32\drivers\trayftptd.sys [140400 2009-07-14] () R1 viavkrext; C:\Windows\system32\drivers\viavkrext.sys [545384 2016-05-09] () [Brak podpisu cyfrowego] R1 vonetframe; C:\Windows\system32\drivers\vonetframe.sys [851560 2016-05-23] () [Brak podpisu cyfrowego] ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.133394.0\BavShx64.dll Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3860599293-1058024457-1363361982-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3860599293-1058024457-1363361982-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main FF Plugin HKU\S-1-5-21-3860599293-1058024457-1363361982-1000: @tools.google.com/Google Update;version=3 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\npGoogleUpdate3.dll [Brak pliku] FF Plugin HKU\S-1-5-21-3860599293-1058024457-1363361982-1000: @tools.google.com/Google Update;version=9 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\npGoogleUpdate3.dll [Brak pliku] CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku C:\ProgramData\winfirewall C:\Users\7\AppData\Local\{F2A0BBF0-D7F0-4519-B9E9-7ABE6EE6A10D} C:\Users\7\AppData\Local\5DE9302D0D38 C:\Users\7\AppData\Local\BIT2E71.tmp C:\Windows\viavkrextHelp.dll C:\Windows\viavkrextHelp(40).dll C:\Windows\vonetframeHelp.dll C:\Windows\vonetframeHelp(41).dll C:\Windows\system32\drivers\viavkrext.sys C:\Windows\system32\drivers\vonetframe.sys C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Dzienniki zdarzeń. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występują problemy.

Wszystko wygląda na zrobione. Dla świętego spokoju możesz zrobić dla potwierdzenia ostatnie logi FRST (FRST.txt + Addition.txt, bez Shortcut).

1. Na koncie Biuro nie widać nic ciekawego. Tylko w Firefox przekonfiguruj w opcjach stronę startową, obecnie ustawiona sponsorowana: FF Homepage: hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki 2. Na koniec pousuwaj z obu kont pobrane narzędzia i ich logi. Następnie na dowolnym z kont zapuść DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Podejrzewam, że problem tworzyły pozostałości po infekcji DNS Unlocker (izraelskie adresy DNS): Tcpip\..\Interfaces\{A8A3C5F9-E5DC-43E3-821F-22660015189D}: [NameServer] 82.163.143.187,82.163.142.187 Wpis ten pojawił się dopiero w drugim logu FRST i go jakoś przeoczyłam.

W raportach brak jakichkolwiek oznak infekcji. Możesz wykonać poboczne działania: 1. Odinstaluj AVG Web TuneUp. To zbędny element instalacji, klasyfikowany nawet jako "PUP", rekonfigurujący przeglądarki na sponsorowane wyszukiwarki. 2. Kosmetyczny skrypt usuwający odpadkowe wpisy i czyszczący Temp. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {17CB82BC-C80D-4BD5-AC89-FB78F8142C46} - System32\Tasks\0615tbUpdateInfo => C:\ProgramData\Avg_Update_0615tb\0615tb_{EC2EB56D-F61B-4254-8F63-EFCEE17F9E9C}.exe Task: {61BB74E3-58A1-48D0-8E1C-078D1BC2431E} - System32\Tasks\{62EA9FEC-E775-4805-A002-0B779236C781} => pcalua.exe -a D:\Gry\starwars\LaunchEAW.exe -d D:\Gry\starwars Task: {8F839BB0-1271-447F-9AD7-BA643BCD9DCB} - System32\Tasks\{A5CB3A00-34C1-4BD5-9DB7-771D985143DC} => pcalua.exe -a D:\Gry\hp1\System\HP.exe -d D:\Gry\hp1 Task: {9A9579F2-03D1-440F-A88E-D0D9099C5EC5} - System32\Tasks\{29D8F6CF-8987-44FE-81F8-7657B0F45C5F} => pcalua.exe -a E:\EASetup.exe -d E:\ DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\GameExplorer\{3D7FECFA-0EDB-470B-BBCD-43570D110DE0} C:\ProgramData\Microsoft\Windows\GameExplorer\{71F82E73-0EF4-48C7-B50A-E16E920EB8A5} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive C:\Users\Admin\AppData\Local\GG EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

To nie zmienia faktu, że crack jest nadal w systemie, a czy on będzie wykrywany w określonych programach to inne zagadnienie. Oczywiście to Twój wybór, że crack zatrzymujesz, ale ja nadal sugeruję się go pozbyć (eliminacja obiektu startowego). Nadal reszta zdań do wykonania, skrypt do FRST po ominięciu wpisów cracka: CloseProcesses: (CreateRestorePoint: HKU\S-1-5-21-1408775573-1599534048-231330914-1001\...\Run: [AdobeBridge] => [X] AppInit_DLLs-x32: Ȇ噎䵒䉐̄ => Brak pliku GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin HKU\S-1-5-21-1408775573-1599534048-231330914-1001: ubisoft.com/uplaypc -> C:\Program Files\ubigówno\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] Task: {8116136B-BC96-4957-9346-97F633F47838} - System32\Tasks\{963232E4-DBED-42E4-B745-F5FCE371D9D8} => pcalua.exe -a "C:\Program Files (x86)\Codemasters\FUEL\FUEL.exe" -d "C:\Program Files (x86)\Codemasters\FUEL" Task: {AE03CE59-1109-4DE3-BA89-C621A2448530} - System32\Tasks\{452ECBCA-52B4-46CE-B76C-AAE86E580A42} => pcalua.exe -a "D:\Games\Dying Light The Following Enhanced Edition\unins000.exe" Task: {F42D3399-76DB-45E5-A61D-A359DEB08014} - System32\Tasks\{180C0E80-14D6-4D4B-B422-E901D41231D2} => pcalua.exe -a "C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe" -d "C:\Program Files (x86)\VIA\VIAudioi\VDeck" S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-07-17] () S3 AsrOcDrv; \??\C:\Windows\SysWOW64\Drivers\AsrOcDrv.sys [X] R4 hitmanpro37; \??\C:\Windows\system32\drivers\hitmanpro37.sys [X] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\ProgramData\Microsoft\Windows\GameExplorer\{154432E0-8AC3-4F23-A60D-22E0F39C257B} C:\Users\Capri\AppData\Local\Microsoft\Windows\GameExplorer\{7F27935C-F3C4-4E97-9EA1-C68457B09A6C} C:\Users\Capri\AppData\Roaming\msregsvv.dll C:\Windows\system32\Drivers\EsgScanner.sys EmptyTemp:

Jak mówię, wersja Firefox nie powinna mieć nic do rzeczy, gdyż nie mam żadnego problemu na dokładnie tej samej wersji (klik na ikonę otwiera menu w którym mogę otworzyć linki do aplikacji Google). Firefox był odświeżany u Ciebie. Mimo wszystko ten nowy profil nie jest tożsamy z utworzeniem od zera profilu, gdyż część danych jest kopiowana ze starego profilu do nowego. Sprawdź czy na zupełnie nowym profilu jest ten sam problem. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p W oknie menedżera profilów załóż nowy, zaznacz i zaloguj się na niego. Podaj czy na tym profilu jest różnica.

Oba tematy sklejam i przenoszę do działu Windows. Nie ma oznak, by problemy produkowała infekcja. Prędzej można podejrzewać zainstalowane oprogramowanie (wliczając preintegrowane na Acer), nie jest też wykluczony Avast jako przyczyna. 1. Sugeruję rozpocząć od redukcji oprogramowania (m.in. MyWinLocker, Pokki, Symantec, WildTangent), co powinno wyeliminować kilka elementów startowych. Do deinstalacji: ==================== Zainstalowane programy ====================== Game Channels (HKLM-x32\...\WildTangentGameProvider-acer-main) (Version: 7.1.0.17 - WildTangent, Inc.) Host App Service (HKU\S-1-5-21-3220214097-2296122819-1731893859-1002\...\SweetLabs_AP) (Version: 0.269.7.800 - Pokki) HP Officejet 7500 E910 — badanie mające na celu poprawę produktów (HKLM\...\{E8985C89-8043-458F-933B-80EECF4AB099}) (Version: 28.0.1315.0 - Hewlett-Packard Co.) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) Java 7 Update 55 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417055FF}) (Version: 7.0.550 - Oracle) MyWinLocker Suite (HKLM-x32\...\InstallShield_{17DF9714-60C9-43C9-A9C2-32BCAED44CBE}) (Version: 4.0.14.24 - Egis Technology Inc.) Norton Online Backup (HKLM-x32\...\{40A66DF6-22D3-44B5-A7D3-83B118A2C0DC}) (Version: 2.2.3.51r - Symantec Corporation) Shared C Run-time for x64 (HKLM\...\{EF79C448-6946-4D71-8134-03407888C054}) (Version: 10.0.0 - McAfee) Start Menu (HKU\S-1-5-21-3220214097-2296122819-1731893859-1002\...\SweetLabs_Start_Menu) (Version: 0.269.7.800 - Pokki) WildTangent Games (HKLM-x32\...\WildTangent wildgames Master Uninstall) (Version: 1.0.3.0 - WildTangent) [Jeśli nie korzystasz, można też odinstalować programy do kopii zapasowej Acer oraz różne multimedialne aplikacje integrowane na Acer] 2. Po akcji zrób nowe raporty FRST (FRST.txt + Addition.txt) i wypowiedz się czy są zmiany.

Nie przedstawiłeś raportów ze skanerów pokazujących dokładne ścieżki dostępu. Był tu też używany ComboFix i nie ma wyników jego działań. W dostarczonych raportach FRST widać tylko jeden wpis startowy infekcji, ale nie na tym koncie (Biuro) z poziomu którego zrobiłeś raporty FRST (GALA). 1. Odinstaluj starą dziurawą wersję Adobe Flash Player 11 ActiveX. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKU\S-1-5-21-2238361084-2985199460-1943500991-1006\...\Run: [luGVx3jKo] => rundll32.exe C:\Users\Biuro\AppData\Roaming\94A1.tmp k6Kd0Yh6G8fgt00v HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 CrashHandler DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 Creator DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\VideoDownloadConverter_4zService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeechEngines DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter EPM Support DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter Home Page Guard 64 bit DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter Search Scope Monitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter_4z Browser Plugin Loader DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter_4z Browser Plugin Loader 64 U3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\$AVG C:\Program Files\Common Files\McAfee C:\Program Files (x86)\AVG C:\Program Files (x86)\McAfee C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\Opera C:\ProgramData\mntemp C:\ProgramData\AVG C:\ProgramData\MFAData C:\ProgramData\McAfee C:\Users\Administrator\AppData\Local\Avg C:\Users\Administrator\AppData\Local\AvgSetupLog C:\Users\Administrator\AppData\Local\MFAData C:\Users\Administrator\AppData\Roaming\AVG C:\Users\Administrator\AppData\Roaming\TuneUp Software C:\Users\Biuro\AppData\Local\Avg C:\Users\Biuro\Documents\PLAY ONLINE\Skrót do PLAY ONLINE.exe.lnk C:\Users\GALA\AppData\Local\AvgSetupLog C:\Users\GALA\AppData\Roaming\DVDVideoSoft C:\Users\GALA\Desktop\Audio CD\*.lnk C:\Users\Public\Music\Sample Music\*.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób raporty FRST (FRST.txt i Addition.txt) będąc zalogowanym po kolei na pozostałych kontach: Administrator i Biuro. Czyli w sumie 4 raporty. Plik Shortcut nie jest potrzebny. Dołącz też plik fixlog.txt.

W raportach nie widać żadnych oznak infekcji szyfrującej dane. Do usunięcia będą tylko drobne odpadkowe wpisy nie związane z infekcją, ale to potem. Zacznij od: Plik Windows jest uszkodzony i nie tylko ten, w raporcie FRST widać także i to naruszenie: R2 CryptSvc; C:\Windows\SysWOW64\cryptsvc.dll [136192 2010-11-21] () [brak podpisu cyfrowego] Zrób skan sfc /scannow i dostarcz przefiltrowany log wynikowy: KLIK.

FRST wykonał pomyślnie zadanie. Problem rozwiązany. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Temat przenoszę do działu diagnostyki malware. To adware uruchamiane via Harmonogram zadań. Potrzebne raporty z FRST.

Posiadam tę samą wersję Firefox 47.0.1 co Ty i otwierają mi się te same linki co u Ciebie, ale nie mam problemu z tym klikiem...

Jak mówiłam, na razie nie mam pomysłu dlaczego klik na tej ikonie nie działa.

SFC notuje dużo naruszeń systemowych skrótów LNK. Na razie to pomijam. W kwestii Menu Start uruchom Start menu troubleshooter (on reperuje też różne skróty).

Problem zapewne wynika z któregoś cache (bufor DNS i/lub cache przeglądarek). Działania do przeprowadzenia: 1. Odinstaluj zbędny firmowy Bing Bar oraz sponsora instalacji Adobe Flash McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-21-627277254-4177279609-1029222512-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-627277254-4177279609-1029222512-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = HKLM\...\Run: [setwallpaper] => c:\programdata\SetWallpaper.cmd U0 Partizan; system32\drivers\Partizan.sys [X] FirewallRules: [{CA9B98DF-7479-4321-ABD3-B2B05F568388}] => (Allow) C:\Program Files (x86)\UnHackMe\Unhackme.exe FirewallRules: [{5D507F7E-525D-447A-A971-E9D10B7BB460}] => (Allow) C:\Program Files (x86)\UnHackMe\Unhackme.exe C:\ProgramData\HitmanPro C:\ProgramData\RegRun C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Program Files (x86)\UnHackMe C:\Users\Ania\Documents\RegRun2 C:\Users\Ania\Downloads\ReimageRepair.exe C:\Windows\SysWOW64\Partizan.RRI CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go i wypowiedz się czy problemy przekierowań ustąpiły. Nowe skany FRST nie są potrzebne.

Obecnie w systemie nie widać żadnych aktywnych śladów tej infekcji, do wyczyszczenia tylko jej szczątki w Harmonogramie oraz inne puste / odpadkowe wpisy. Jeśli komputer działa wolniej, przyczyna jest inna niż infekcja. 1. Odinstaluj stare programy Adobe AIR, Ad-Remover par C_XX, Java 7 Update 71, Java 8 Update 31, QuickTime 7, Real Alternative 2.0.2 oraz niepożądany Smart File Advisor 1.1.8. Na temat Smart File Advisor w przyklejonym na spodzie: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {01DE02A2-479B-4F58-88EE-869D24D7B9AB} - System32\Tasks\{224F9687-77B4-41D6-9D6B-D3B810D2D093} => pcalua.exe -a C:\Users\Administrator\Downloads\googlemon.exe -d C:\Users\Administrator\Downloads Task: {ACF5255D-D923-4163-9BE5-AF9A8AFFD964} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-01] (Lenovo) Task: {B1D1E0AB-0551-450A-9A8E-108ABFEB7EAD} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {CF1C9176-ECD0-4D89-AC94-75C92FFB3A5F} - System32\Tasks\LaunchCSS => cssauth.exe Task: {D9BCDE26-E076-4B85-8BD8-12B0ED9A6E0F} - System32\Tasks\psv_Cofeco => /c regedit.exe /s "C:\ProgramData\Quotenamron\Stimquadtech.reg" & del "C:\ProgramData\Quotenamron\Stimquadtech.reg" & SCHTASKS /Delete /TN "psv_Cofeco" /F HKLM\...\Run: [smart File Advisor] => C:\Program Files\Smart File Advisor\sfa.exe [282384 2015-03-22] (Filefacts.net) HKLM\...\Run: [Andy] => "C:\Program Files\Andy\HandyAndy.exe" Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk [2013-02-20] S4 UleadBurningHelper; C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe [61440 2008-01-10] (Ulead Systems, Inc.) [brak podpisu cyfrowego] S3 DUMeterDrv; \??\C:\Program Files\DU Meter\DUMETR32.SYS [X] S2 smihlp2; \??\C:\Program Files\ThinkVantage Fingerprint Software\smihlp.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] FF Homepage: FF NewTab: FF HKU\S-1-5-21-4017091599-1580052636-3000737442-500\...\Firefox\Extensions: [{FCF36B88-1BBA-487f-B64B-D2E8980A9293}] - C:\Program Files\Lenovo\Client Security Solution\PWM Firefox Extension => nie znaleziono GroupPolicyScripts: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-4017091599-1580052636-3000737442-500\Software\Microsoft\Internet Explorer\Main,Default_search_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-4017091599-1580052636-3000737442-500\Software\Microsoft\Internet Explorer\Main,Default_page_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-4017091599-1580052636-3000737442-500\Software\Microsoft\Internet Explorer\Main,Search bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4017091599-1580052636-3000737442-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4017091599-1580052636-3000737442-500\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> {099F6C17-B399-4A30-B1B4-793D4D4678F2} URL = hxxp://www.bing.com/search?q={searchTerms}&form=LEMDF8&pc=MALC&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-4017091599-1580052636-3000737442-500 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4017091599-1580052636-3000737442-500 -> {099F6C17-B399-4A30-B1B4-793D4D4678F2} URL = SearchScopes: HKU\S-1-5-21-4017091599-1580052636-3000737442-500 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{DB450007-9764-11D6-819E-005056C00008}\localserver32 -> C:\PROGRA~1\DUMETE~1\DUMeter.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{DB450008-9764-11D6-819E-005056C00008}\localserver32 -> C:\Program Files\DU Meter\DUMeterSvc.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Administrator\Downloads\oloswit.rar.exe => Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\NAUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Sony Ericsson PCCompanion DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DU Meter DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sony Ericsson PC Companion DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VIDA eUpdate Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VidaMonitor DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main AlternateDataStreams: C:\Users\Administrator\AppData\Local\desktop.ini:722b2b1c349a06abf0e866180e5a7e63 [1570] C:\Program Files\Mozilla Firefox\defaults\pref\itms.js C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\Ulead Systems C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Proxy Server Finder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wizard Service Tool C:\Users\Administrator\AppData\Local\MSfree Inc C:\Users\Administrator\AppData\Local\Thinstall C:\Users\Administrator\AppData\Roaming\*.* C:\Users\Administrator\AppData\Roaming\Thinstall C:\Users\Administrator\AppData\Roaming\Ulead Systems C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\2xjylglo.default-1462177151737\searchplugins\findit.xml C:\Users\ZZZ\AppData\Roaming\Orbit C:\Users\YYY\Desktop\Wizard Service Tool.lnk C:\Windows\system32\findit.xml Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom Autoruns i w karcie Codecs wyszukaj wszystkie wpisy kierujące do ścieżki Ulead. Znalezione usuń. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Podobny temat: KLIK. Plik jest wytwarzany przez crack aktywacji, powiązany wpis to zadanie w harmonogramie: Task: {08D3E5F8-AAD3-4CF1-9060-CC7801578F7A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-20] () 1. Zacznij od usunięcia cracka. 2. Dodatkowe poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: (CreateRestorePoint: HKU\S-1-5-21-1408775573-1599534048-231330914-1001\...\Run: [AdobeBridge] => [X] AppInit_DLLs-x32: Ȇ噎䵒䉐̄ => Brak pliku GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin HKU\S-1-5-21-1408775573-1599534048-231330914-1001: ubisoft.com/uplaypc -> C:\Program Files\ubigówno\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] Task: {08D3E5F8-AAD3-4CF1-9060-CC7801578F7A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-20] () Task: {8116136B-BC96-4957-9346-97F633F47838} - System32\Tasks\{963232E4-DBED-42E4-B745-F5FCE371D9D8} => pcalua.exe -a "C:\Program Files (x86)\Codemasters\FUEL\FUEL.exe" -d "C:\Program Files (x86)\Codemasters\FUEL" Task: {AE03CE59-1109-4DE3-BA89-C621A2448530} - System32\Tasks\{452ECBCA-52B4-46CE-B76C-AAE86E580A42} => pcalua.exe -a "D:\Games\Dying Light The Following Enhanced Edition\unins000.exe" Task: {F42D3399-76DB-45E5-A61D-A359DEB08014} - System32\Tasks\{180C0E80-14D6-4D4B-B422-E901D41231D2} => pcalua.exe -a "C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe" -d "C:\Program Files (x86)\VIA\VIAudioi\VDeck" S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-07-17] () S3 AsrOcDrv; \??\C:\Windows\SysWOW64\Drivers\AsrOcDrv.sys [X] R4 hitmanpro37; \??\C:\Windows\system32\drivers\hitmanpro37.sys [X] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\ProgramData\Microsoft\Windows\GameExplorer\{154432E0-8AC3-4F23-A60D-22E0F39C257B} C:\Users\Capri\AppData\Local\Microsoft\Windows\GameExplorer\{7F27935C-F3C4-4E97-9EA1-C68457B09A6C} C:\Users\Capri\AppData\Roaming\msregsvv.dll C:\Windows\AutoKMS C:\Windows\system32\Drivers\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Ale Adobe Reader XI powinien działać na Vista: KLIK. Sumatrę też tam wyliczam właśnie jako alternatywę dla kolosa Adobe. Wszystko wykonane, drobne poprawki: 1. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Task: {4F613E31-A572-49CE-98F9-68172B775CAB} - System32\Tasks\{211CCCFB-C2D9-4FBE-88A9-D1F14F44DADE} => Firefox.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar Task: {8ECFBFF6-C067-43B7-A3F3-AE77285F66D9} - System32\Tasks\{1BD65674-BAC9-4F78-87E2-C7C194F136E5} => Firefox.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\oem\AppData\Roaming\Tlen.pl RemoveDirectory: C:\Users\oem\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\oem\AppData\Roaming\*.* Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

To zachowanie nie jest nowe. Ten mechanizm z tracking.log działa na wszystkich systemach posiadających tę usługę, w XP też jest ten plik.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To wszystko.

Temat przenoszę do właściwego działu Windows. Jeśli chodzi o długie wyszukiwanie i obciążenie svchost podczas tego procesu, to obecnie "standard" na starszych systemach. Przykładowy temat: KLIK. Nasuwa się pytanie o jakim zakresie czasowym tu mowa, ile czekasz na wyszukanie aktualizacji? I co to za dziwne zadanie "Koniec Aktualizacji" utworzone w Harmonogramie? PS. Wykonaj sobie kosmetyczny skrypt usuwający odpadek adware PriceFountain w Harmonogramie i wpisy puste oraz czyszczący Tempy:

Temat przenoszę do działu Windows. Zero oznak infekcji. Z raportów nic też nie wynika w kwestii zgłoszonych problemów, ale podejrzenia budzi 360 Total Security, dodał dużo elementów startowych.

Zgodnie z przypuszczeniem w GMER nic ciekawego, głównie aktywność programów zabezpieczających. Nie mam tu raczej nic do roboty. Skasuj z dysku folder C:\FRST oraz pobrany FRST + GMER i ich logi.

DelFix wykonał zadania zgodnie z planem. Skasuj plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.