picasso

1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {E2B426BC-DFAC-48CD-8817-210C8BD46A72} - System32\Tasks\adminGoatskinsSurcoatsV2 => Rundll32.exe DisroberCoolant.dll,main 7 1 Task: {E9D1F0B3-7B2E-4C32-A89C-D2B6F93A475F} - System32\Tasks\{02A4C830-93E9-550B-DF07-2212D2B65170} => C:\Users\admin\AppData\Roaming\PriceFountainUpdateVer\syncversion.exe [2013-05-01] () Task: C:\Windows\Tasks\{02A4C830-93E9-550B-DF07-2212D2B65170}.job => C:\Users\admin\AppData\Roaming\PRICEF~1\SYNCVE~1.EXE HKLM-x32\...\Run: [Tv-Plug-In] => C:\Program Files (x86)\Tv-Plug-In\Tv-Plug-In.exe [312552 2015-02-24] (Orzilia Ltd.) HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\Run: [bingSvc] => C:\Users\admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-05] (© 2015 Microsoft Corporation) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{02A4C830-93E9-550B-DF07-2212D2B65170} DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MpsSvc CMD: sc config MpsSvc start= auto C:\extensions C:\Program Files (x86)\Tv-Plug-In C:\searchplugins C:\Users\admin\AppData\Local\GoatskinsSurcoats C:\Users\admin\AppData\Local\Microsoft\BingSvc C:\Users\admin\AppData\LocalLow\Tv-Plug-In C:\Users\admin\AppData\Roaming\Browser-Security C:\Users\admin\AppData\Roaming\PriceFountainUpdateVer C:\Users\admin\AppData\Roaming\Tv-Plug-In C:\Users\admin\Desktop\instalki\Avast SafeZone Browser.lnk C:\Users\admin\Downloads\*-dp*.exe C:\Users\admin\Downloads\*.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale uBlock Origin trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. "Lekki" to pojęcie względne. Jeśli chodzi o ilość elementów startowych to nie ma nic "lekkiego", wszystkie standardowe antywirusy mocno rozgałęzione (kupa usług i sterowników). Jeśli chodzi o zabezpieczenie przez instalacją adware, to przyda się np. Unchecky. Popatrz na listę w przyklejonym: KLIK.

Problemem są zmodyfikowane skróty LNK przeglądarek. Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stary program Windows Media Player Firefox Plugin. - Skorzystaj z narzędzia SPTDInst, by usunąć stary i nie używany przez żaden program sterownik SPTD. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 ctsAgentsht.exe; "C:\Program Files (x86)\Phlachhalicult\ctsAgentsht.exe" {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X] S2 GTFPOQUOTT Updater; C:\Program Files (x86)\GTFPOQUOTT Updater\GTFPOQUOTT Updater.exe [X] Task: {232C254C-B02F-47D2-94C3-45ACACA34E2F} - System32\Tasks\GTFPOQUOTT => gtfpoquott.exe Task: {8B197715-493C-495F-A4F1-6521129F88F7} - System32\Tasks\Cotsqwutain Agent => C:\Program Files (x86)\Phlachhalicult\ctsAgentghr.exe ShortcutWithArgument: C:\Users\Agata\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-1de21753 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-1de21753 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-1de21753&q={searchTerms} SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> DefaultScope {D97FE477-F0DB-48D2-9B8A-3F99C4EE3162} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sun21 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files (x86)\GTFPOQUOTT C:\Program Files (x86)\zebi C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi C:\ProgramData\TEMP C:\Users\Agata\AppData\Local\Google C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\VirtualDub.exe - skrót.lnk C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Network Shortcuts\My Web Sites on MSN\target.lnk C:\Users\Agata\Favorites\Links\*.url C:\Windows\system32\bi3.exe C:\Windows\system32\SSL C:\Windows\system32\Drivers\etc\hp.bak CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Śmietnisko nabyte z "Asystenta pobierania" dobrychprogramów podczas próby pobrania WinRAR: KLIK. Akcje wstępne: 1. Odinstaluj programy typu adware/PUP: Browser-Security, ByteFence Anti-Malware, PriceFountain, Tv-Plug-In, Update for PriceFountain. 2. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym Addition. Na podstawie raportów będzie doczyszczanie tego co zostało po deinstalacjach.

Zakładam, że wykonałeś akcję ręcznie. Teraz na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Logi z OTL usuwam, to przestarzały program i na nim się już nie pracuje, FRST posiada o wiele więcej skanów i poprawek. Zestaw podanych raportów FRST niekompletny - brak plików Addition i Shortcut. Wróć do konfiguracji i dorób te dwa logi: KLIK. Jeszcze w Addition może się coś ewentualnie pokazać, ale póki co to w głównym FRST są tylko polityki Chrome wprowadzone przypuszczalnie przez adware i jakiś jeden dziwny pusty wpis, żadnych aktywnych śladów ingerencji infekcji szyfrującej dane.

Tylko jeden wpis się nie przetworzył. Klawisz z flagą Windows + R > regedit > wejdź do tego klucza: HKEY_CURRENT_USER\Software\Clients\StartMenuInternet Powiedz mi czy jesteś w stanie ręcznie usunąć lub zedytować zlokalizowaną tam wartość domyślną kierującą do tego fałszywego klona.

leliwka, założyłaś temat w nieodpowiednim dziale Tutoriali. Przenoszę do działu Malware i czekam na brakujące logi (wyniki MBAM + FRST).

Przestrzegam przez innymi "darmowymi" VPN. Przeważnie są podobne sztuczki, jakieś reklamy w wersji darmowej czy inne uciążliwości. I możemy zająć się pobocznymi działaniami: 1. Odinstaluj stare wersje: Adobe Flash Player 18 NPAPI, Adobe Flash Player 20 ActiveX, Java 8 Update 72 (64-bit). 2. Usunięcie wpisów odpadkowych/pustych i czyszczenie Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 GUBootStartup; C:\Windows\System32\drivers\GUBootStartup.sys [20160 2016-01-06] (Glarysoft Ltd) S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] U3 DfSdkS; Brak ImagePath Task: {01B7CF06-558F-4472-810A-932B22BEF680} - System32\Tasks\{6F32AE2D-FC3C-4BC1-8090-C2F90DD53BC7} => pcalua.exe -a C:\Users\Jola-Mariusz\Downloads\Internal_VGA_Intel_WXP_6.14.10.5303\Install.exe -d C:\Users\Jola-Mariusz\Downloads\Internal_VGA_Intel_WXP_6.14.10.5303 Task: {09688081-1C98-4DEB-8C67-B5AE0D8B8E6C} - System32\Tasks\GU5SkipUAC => C:\Program Files (x86)\Glary Utilities 5\Integrator.exe Task: {0E90269F-85C0-4879-8757-49A556C4B573} - System32\Tasks\{2F987813-7F3C-4A0F-8245-00A93D5F86D9} => pcalua.exe -a C:\Users\Jola-Mariusz\Desktop\WLAN_Broadcom_WXP_5.100.82.94\Install.exe -d C:\Users\Jola-Mariusz\Desktop\WLAN_Broadcom_WXP_5.100.82.94 Task: {256D2EF9-52D7-4E50-A4AD-07D17E73531A} - System32\Tasks\{CA0BCE57-6830-4FDC-BAB9-8308360F45DC} => pcalua.exe -a C:\Users\Jola-Mariusz\Downloads\Internal_VGA_Intel_WXP_6.14.10.5303\dotnetfx35.exe -d C:\Users\Jola-Mariusz\Downloads\Internal_VGA_Intel_WXP_6.14.10.5303 Task: {7735BC38-7C86-45EF-8C8D-F0CDA08CF518} - System32\Tasks\{72E31924-5DFE-4CEA-AE1F-EE9B25366348} => pcalua.exe -a E:\HijackThis.exe -d E:\ Task: {CD458BF9-105D-4E4F-937A-58FA91385FCD} - System32\Tasks\GlaryInitialize 5 => C:\Program Files (x86)\Glary Utilities 5\Initialize.exe Task: {F1FECDB2-C481-4B1E-B886-32B6E4F25218} - System32\Tasks\{EB88658D-DBCF-4649-92E2-BC34D0C89B2A} => pcalua.exe -a "F:\ArturO\NFS MOST WANTED\NFS Most Wanted - Spolszczenie.exe" -d "F:\ArturO\NFS MOST WANTED" Task: {F44AC858-741C-441E-9E51-CB5679442879} - System32\Tasks\GlaryUpdate 5 => C:\Program Files (x86)\Glary Utilities 5\CheckUpdate.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF Plugin-x32: @java.com/DTPlugin,version=11.73.2 -> C:\Program Files (x86)\Java\jre1.8.0_73\bin\dtplugin\npDeployJava1.dll [brak pliku] FF Plugin-x32: @java.com/JavaPlugin,version=11.73.2 -> C:\Program Files (x86)\Java\jre1.8.0_73\bin\plugin2\npjp2.dll [brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Hamachi2Svc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUS EPM tray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GUDelayStartup DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui C:\Users\Jola-Mariusz\AppData\Roaming\*.* C:\Users\Jola-Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBF Viewer 2000 C:\Windows\System32\drivers\GUBootStartup.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są potrzebne.

Raport wskazuje, że niepożądane Chromium nabyłeś uruchamiając "Asystent pobierania" dobrychprogramów, który miał ściągać PhotoScape. Co do wyników AdwCleaner, to głównie usuwał badziewie preintegrowane na Lenovo (Lenovo Browser Guard, Pokki) oraz aplikację Hola (kontrowersje z działaniem a'la botnet: KLIK / KLIK). Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Akamai NetSession Interface, Java 8 Update 73, Lenovo SHAREit (o ile nie korzystasz). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis Lenovo Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001\...\Run: [GoogleChromeAutoLaunch_DA6047B3B86664256918EFEC7695FF7C] => C:\Users\Michal\AppData\Local\Chromium\Application\chrome.exe [667136 2015-08-11] (The Chromium Authors) S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80920 2015-07-02] (McAfee, Inc.) Task: {0B03F36F-5670-49FA-B021-843B691F1629} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {6B464D65-73C8-468B-B3EB-B502CF0E2A0B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {7DE5B2F8-CDEA-43C3-86EE-941B1C8C6C9C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {9817673C-9679-4B35-9631-0CE0771E2380} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {A6902DE0-3715-47E4-9579-CF3DB856BBFF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {A813CD6D-494A-4803-9B3D-1EBC7E136EED} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) Task: {BAA6ED81-2B71-4B1E-9EB9-304F456BE1FD} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {BE835AEB-3DDB-406F-B64C-C0BF6E8F9C20} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {C56F5816-D5B6-4BFA-8254-A644DB9A88A7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {CCD771C1-45BA-47AA-988D-3425FCD81801} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {D1CEEB37-DC7F-4291-B53D-6E89668C8C87} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {EC591612-659B-4572-8261-59469F0AD277} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Tcpip\..\Interfaces\{622ce1b9-1a88-4744-b292-769129e61f49}: [DhcpNameServer] 150.212.1.3 IE trusted site: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001\...\hola.org -> hxxp://hola.org SearchScopes: HKLM -> DefaultScope {CE9351DF-0B9F-416D-B488-242CC4CE8BFE} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-ab8f7d5b&q={searchTerms} SearchScopes: HKLM -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-32b9a2ed&q={searchTerms} SearchScopes: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-ab8f7d5b&q={searchTerms} SearchScopes: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-ab8f7d5b&q={searchTerms} SearchScopes: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001 -> {29BAC421-4446-4903-91EE-19B37FE9EEAF} URL = hxxps://uk.search.yahoo.com/search?p={searchTerms}&fr=yset_ie_syc_oracle&type=orcl_default SearchScopes: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-32b9a2ed&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF DefaultSearchEngine: Search Provided by Bing FF SelectedSearchEngine: Search Provided by Bing FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF StartMenuInternet: FIREFOX.EXE - firefox.exe DeleteKey: HKU\.DEFAULT\Software\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f C:\ProgramData\mntemp C:\ProgramData\Temp C:\Users\Michal\AppData\Local\{9A42AC1E-BEEA-C0A6-D372-E54EF71A19D6} C:\Users\Michal\AppData\Local\Chromium C:\Users\Michal\AppData\Local\Google C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chromium C:\Users\Michal\Downloads\Photoscape-12505-dp.exe C:\Windows\System32\drivers\mfeelamk.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Otwieram temat. Po zalogowaniu do panelu opłat przestępcy dają za darmo klucze do odszyfrowania wariantów .crypz i .cryp1 (i tylko i wyłącznie dla tych): KLIK. Jest niejasne co się dzieje, to może być jakiś błąd w "obsłudze" panelu, więc trzeba się śpieszyć.

To wygląda na coś w tym stylu: KLIK / KLIK. W raportach nie widać żadnych oznak infekcji. Tylko poboczne działania: 1. Odinstaluj zbędny program HP Customer Participation Program 14.0. Do aktualizacji poniższe programy: KLIK. Adobe Acrobat Reader DC - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AC0F074E4100}) (Version: 15.016.20045 - Adobe Systems Incorporated) Adobe Flash Player 21 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 21.0.0.242 - Adobe Systems Incorporated) Java 8 Update 66 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.18 - Oracle Corporation) 2. Kosmetyczny skrypt usuwający szczątkowe wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {0248757B-C979-4426-A52B-CEBEFA661627} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {075F028C-7FF6-45FE-B68D-136A3520F371} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {0A8A1F24-7A1C-4922-BD76-7AF1CAB2CEEA} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {0A985BE5-27FC-4EB2-8EB5-A0626A806328} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {116882FD-30C4-4737-AAB8-463F25ADB697} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {12D2CA48-E0E4-460D-ACB8-2DA71ED21D44} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {22B7C9CE-4996-408B-A2C1-6251F96737CF} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA Task: {28FD07D8-14B0-4A0F-A740-3DADA48DBDBF} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe Task: {3B8AE42C-FE67-4E31-841F-BA388199D644} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {4008A5CB-3933-47A4-946F-B70DE6EC8987} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {4873B9D2-36EF-4F3B-A769-AEF32549D849} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {55DCBB8A-4148-4DAF-A6F9-7F70FA0A88CB} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5A8BC9D6-3318-4C4A-B7BC-F73C3E6F92A1} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5DD36B80-6B02-42D9-BEDB-57E65A4B7BC9} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {64222051-9D29-44AA-8D01-5B65EAE8441A} - \PMTask -> Brak pliku <==== UWAGA Task: {69A89CD8-9D10-4C85-836B-0DA961EEE279} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {7A86A303-0C4D-426A-8C52-C8CAA202F3FF} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {8493D86E-9D12-45DD-A852-A958414F1E79} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {84C21648-3732-49C4-8513-F1B498787DE8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {9034722B-6488-4867-816C-235FC09AE337} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {99310360-D273-4329-8476-BFC817F32825} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {A64308A4-C68D-4999-8C9D-728E82ECCBF3} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {AB3BAB90-DA31-4FBC-B780-5936F0898A5C} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {B315479C-FBA6-488C-AEAD-05E7E4B72DF9} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {B5DA585E-31CC-4221-86AE-B0E01BD34953} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {BD6729B4-EE8F-48C1-A72D-94016C868255} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {D44AB5EA-4580-4336-80D4-64FEC157B467} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {D5F9F32E-8CE7-48DB-B7B3-9FB414EC16AA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe Task: {F06644E6-2032-4EC0-B0A1-B150EF95348B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {FDCE862C-9615-46A0-BC4F-BC79AC485DA7} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe Task: {FF7C2D8C-53DB-46CB-BE8D-E5AB0BCABBA6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {FFCD8A2B-4058-400A-A746-E68D820F5A97} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\WINDOWS\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1500825603-450778821-1061133333-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CHR HKLM\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Wszystko pomyślnie wykonane. Na koniec zastosuj DelFix (ale GMER skasuj ręcznie), następnie wyczść foldery Przywracania systemu: KLIK.

W raporcie Addition następujący błąd: Dziennik Aplikacja: ================== Error: (07/13/2016 11:29:21 AM) (Source: System Restore) (EventID: 8210) (User: ) Description: Wystąpił nieokreślony błąd podczas przywracania systemu: (Zaplanowany punkt kontrolny). Informacje dodatkowe: 0x8007007b. Ten błąd jest charakterystyczny dla włączonej Ochrony systemu dla nieistniejącego woluminu. Wejdź do konfiguracji Przywracania systemu: KLIK. Sprawdź czy na liście dysków widnieje zaznaczona pozycja opisana jako BRAK. Odznacz ten element i zaznacz właściwy wolumin z Windows. Wykonaj jeszcze te kosmetyczne akcje wspominane na początku. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {02516F6C-CE1B-450A-8254-69B061DA0843} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {0B893776-4A04-4216-BC0A-3A0DF7E134CE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {21843CE1-2EA8-4359-8DE7-C94CD0D6B307} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2012-08-08] (Lenovo) Task: {3074A512-5E3E-4BE5-929F-75E049471393} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {341D1217-20ED-4DD9-80DB-7F44DA74556F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {6B5A10D4-811B-4D39-9B73-669A6C2788C9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {76A1427C-8872-4A61-8666-DED90A31D4D9} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {7DA35250-C581-4682-9DC4-6FD3B0B9FEC5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {813E416C-C1CE-4690-A3C0-9A9B19B19546} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {9303D520-02D1-47D8-8E52-8C7F7DD93D4B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {B7924CF2-1435-409F-84DF-D9E1A2B90592} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {D9019A40-A13A-4C7A-9B42-35D2F6189E04} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80160 2015-02-13] (McAfee, Inc.) C:\Windows\System32\drivers\mfeelamk.sys HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-1813020923-1184796107-3470649917-1002 -> DefaultScope {5F04DD98-6FE6-481D-980A-1158758D25CD} URL = SearchScopes: HKU\S-1-5-21-1813020923-1184796107-3470649917-1002 -> {5F04DD98-6FE6-481D-980A-1158758D25CD} URL = DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nowe skany FRST nie są potrzebne.

Gdzie widziałeś tę informację? W temacie wsparcia dla ofiar Cerber jest napisane, że nie jest to możliwe. A te informacje na końcu to dotyczą innej infekcji Xorist, to nie ten przypadek tutaj: Na obrazku U Ciebie są pliki zmieniona nazwa oryginalnego pliku na losową.cerber i tego nie można odkodować. Natomiast Xorist tworzy plik zachowana nazwa oryginalnego pliku.cerber i to jest do odkodowania.

To nie jest Critroni tylko infekcja Cerber szyfrująca dane. Na obrazku widać wyraźnie zakodowane pliki o rozszerzeniu *.cerber. Opis infekcji Cerber: KLIK, KLIK. Odkodowanie danych jest niemożliwe. Jedyne czym jestem w stanie się zająć, to usunięcie infekcji oraz dodanych przez nią notatek ransom. Do tego są potrzebne jednak raporty z FRST. Z drugiej strony, po ataku infekcji szyfrującej i tak jest zalecany format dysku. Zaszyfrowane dane (nie są groźne) można skopiować na zewnętrzny nośnik, na wszelki wypadek gdyby kiedyś w przyszłości pojawiła się solucja.

Niestety Brontok wrócił. Komputer nie był podłączony do internetu, więc albo uruchomiłeś przypadkowo jakiś plik Brontok pozostawiony gdzieś na dysku, albo zostało podpięte urządzenie zewnętrzne zainfekowane Brontok. Brontok tworzy w wielu folderach pliki udające w nazwach i wyglądzie foldery, a ich omyłkowe uruchomienie przeładowuje infekcję. Przykład z Twojego raportu: 2016-07-01 12:55 - 2011-04-25 10:38 - 00044433 _____ C:\Documents and Settings\Admin\Moje dokumenty\Moje dokumenty.exe Zaczynamy od początku. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [Bron-Spizaetus] => C:\WINDOWS\ShellNew\RakyatKelaparan.exe [44433 2011-04-25] () HKLM\...\Winlogon: [Shell] Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" [x ] () HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Run: [Tok-Cirrhatus-1464] => C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\br3951on.exe [44433 2011-04-25] () HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\Empty.pif [2011-04-25] () AlternateShell: cmd-brontok.exe S3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe" [X] DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome C:\Documents and Settings\Admin\Moje dokumenty\Moje dokumenty.exe C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*.* C:\Program Files\Java C:\WINDOWS\KesenjanganSosial.exe C:\WINDOWS\ShellNew\RakyatKelaparan.exe C:\WINDOWS\system32\Admin's Setting.scr C:\WINDOWS\system32\cmd-brontok.exe C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job CMD: for /d %f in ("C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*bron*") do rd /s /q "%f" EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu i powstanie kolejny plik fixlog.txt. 2. Zrób nowe logi: log FRST z opcji Skanuj (Scan) ponownie z Addition oraz log Farbar Service Scanner. Dołącz też plik fixlog.txt. Tak, wiem, to było w skanie FRST widoczne: FF Homepage: hxxp://www.surveycompare.pl/?mckv=c4U7vptkv pcrid 39867592534 pkw p%C5%82atne%20ankiety pmt &mckvcid=63rv316uw0&cid=5256849d95975&source=google&medium=cpc&campaign=164888494&adgroup=9262031614&targetid=kwd-948351076&keyword=p%C5%82atne%20ankiety&matchtype=&ad=39867592534&network=d&device=c&devicemodel=&target=&placement=olx.pl&position=none&aceid=&ismobile=0&issearch=0&geo=1011419&geointerest=&gclid=CI-Fm6q9p80CFQoTGwodsnwD6g

Wszystko zgodnie z planem wykonane. Na koniec zastosuj DelFix.

SpyHunter to program wątpliwej reputacji! Z daleka od niego. Prócz tytułowego problemu jest tu jeszcze adware PriceFountain. Działania do przeprowadzenia: 1. Z poziomu Menu Start uruchom skrót deinstalacyjny SpyHunter: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\Deinstalacja programu SpyHunter4.lnk -> C:\Program Files\Enigma Software Group\SpyHunter\unins000.exe () Następnie niezależnie od tego czy deinstalacja się powiedzie, czy wręcz przeciwnie, zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {05529B75-1845-4188-9603-245B6B97744C} - System32\Tasks\MarekDeprehensionIllegiblyV2 => Rundll32.exe GhostlyGuardhouse.dll,main 7 1 Task: {05873C93-E0E9-40EB-8D6B-652628207830} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {06BEF976-A682-4816-8EDA-A44F9CB732DB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {26A6E2CC-BE1D-4FAF-A84F-10120214BEEB} - System32\Tasks\{7816E8E5-3F72-5AC5-6569-7BFDA5D3082B} => C:\Users\Marek\AppData\Roaming\PRICEF~1\PRICEF~1.EXE Task: {388AAAA6-5C88-447D-991A-B15E2BFE08BE} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {3CF2467A-B1F9-4008-8C25-89E376A9BD73} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {3D549FF7-81AE-4114-A0E4-409F5674822F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {4E3A722F-C929-41E4-8FF0-81AE68F3BD3F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5F5460AA-BEAD-432A-BC19-61C6078AF6B8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {6A97038D-06B7-4FC0-9A0B-CF29A22FD7FA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {89C476A8-A915-47F1-8F16-EFAAB853742C} - System32\Tasks\Marek => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Marek /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Task: {9210492B-6EBD-4FB4-88B3-91B20F6C2E2E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {AC472974-CE90-43C1-9D98-67AED3114734} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {B2257E5D-BD52-4CA6-896C-2F2011598A54} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {C1A04B0D-C33D-40B1-9CD0-3D193F3D9A61} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D866EE30-CA8D-4F0B-9EF2-F5C9C876E0A5} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {D91187A5-69D9-4682-92B1-291AF9270723} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E125B237-D3A6-42CB-95D9-EE8BB92E99E7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: C:\WINDOWS\Tasks\{7816E8E5-3F72-5AC5-6569-7BFDA5D3082B}.job => C:\Users\Marek\AppData\Roaming\PRICEF~1\PRICEF~1.EXE HKU\S-1-5-21-3924804133-2871598600-1272778469-1001\...\Run: [Marek] => explorer.exe hxxp://kb-ribaki.org HKU\S-1-5-21-3924804133-2871598600-1272778469-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 SearchScopes: HKU\S-1-5-21-3924804133-2871598600-1272778469-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF user.js: detected! => C:\Users\Marek\AppData\Roaming\Mozilla\Firefox\Profiles\nL1wCZN6.default\user.js [2016-07-09] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f C:\Users\Marek\AppData\Local\DeprehensionIllegibly C:\Users\Marek\AppData\Local\ImmunologistGunwale C:\Users\Marek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\DAEMON Tools Lite.lnk C:\WINDOWS\SysWOW64\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już Shortcut. Dołącz też plik fixlog.txt.

Wymagane poprawki. Otwórz Notatnik i wklej: Task: {3896B66A-A711-4085-A200-59FB3F6C31FE} - \ceQeekgBrowserUpdateUA -> Brak pliku Task: {A819884B-D5E8-4520-A1A9-7D1E027949A8} - \ceQeekgCheckTask -> Brak pliku Task: {CA3A2093-76B4-47E5-A630-1C5E9F2B5C65} - \ceQeekgBrowserUpdateCore -> Brak pliku FirewallRules: [{E86C65C0-CAC8-4616-9F9E-6B95C26F565A}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\chrome.exe FirewallRules: [{200B595F-8DC0-4815-B2CF-A45A3428F116}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe DeleteKey: HKCU\Software\ceQeekg DeleteKey: HKCU\Software\Classes\ceQeekgHTM DeleteKey: HKCU\Software\Classes\.htm DeleteKey: HKCU\Software\Classes\.html DeleteKey: HKCU\Software\Classes\.shtml DeleteKey: HKCU\Software\Classes\.webp DeleteKey: HKCU\Software\Classes\.xht DeleteKey: HKCU\Software\Classes\.xhtml DeleteKey: HKCU\Software\Clients\StartMenuInternet\ceQeekgHTM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\7c339b6f_0 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationFrame\Positions\ceQeekg DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice DeleteKey: HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\ftp\UserChoice DeleteKey: HKLM\SOFTWARE\WOW6432Node\ceQeekg Reg: reg delete HKCU\Software\Clients\StartMenuInternet /ve /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.htm /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.html /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.shtml /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.xht /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.xhtml /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_ftp /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_http /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_https /f Reg: reg delete HKCU\Software\RegisteredApplications /v ceQeekgHTM /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\ceQeekg\ceQeekg\chrome.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

kijek, nie udzielam odpowiedzi, bo na razie nie mam plików do zamiany w identycznej wersji wymaganej przez Twój system. Tu nie można podstawić pierwszego z brzegu pliku, tylko idealnie dopasowany. Nie próbuj przypadkiem szukać pliku "na Google" i via cudaczne wynalazki typu "DLL Fixer". Gdy będę mieć coś do powiedzenia, dam znać. To może potrwać.

To fałszywy klon na silniku Chromium imitujący Google Chrome i mający zintegrowane adware, ustawił się też jako domyślna przeglądarka. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {10248758-8E6D-4221-BE07-6D292DA0C505} - System32\Tasks\ceQeekgCheckTask => C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [2016-04-28] () Task: {153023CB-809B-4D9F-9665-3116813544B0} - System32\Tasks\Ariqockatidge Agent => Rundll32.exe "C:\Program Files (x86)\Ariqockatidge\AriqockatidgeAgn.dll",w Task: {2CD80B19-1AF0-45D6-97D7-E40D9B73E035} - System32\Tasks\ceQeekgBrowserUpdateUA => C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [2016-04-28] () Task: {35D7972E-A4F2-4A52-979F-C0122BA5BF51} - System32\Tasks\{9902414B-C298-4DD2-B046-D346A5F789EE} => Chrome.exe hxxp://ui.skype.com/ui/0/7.21.0.100/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {7466DE2C-F0A5-4842-AA0E-4799AB58CE91} - System32\Tasks\ceQeekgBrowserUpdateCore => C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [2016-04-28] () R2 ceQeekg_protect; C:\ProgramData\ceQeekg\protect\protect.exe [303000 2016-04-28] () S2 ceQeekg_update; C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [472984 2016-04-28] () S2 cktSvc; "C:\Program Files (x86)\Uncheckit\cktSvc.exe" {92E162D7-70FD-48F7-A779-91154F8FD518} [X] S2 clcmanagersrv; "C:\Program Files (x86)\Clcegh\clcmanagersrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] S2 McNaiAnn; "C:\Program Files\Common Files\McAfee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X] S3 McODS; "C:\Program Files\mcafee\VirusScan\mcods.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McNaiAnn => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="" HKLM-x32\...\Run: [] => [X] FirewallRules: [{A7491D4C-710E-483C-B658-A36C07FE22EB}] => (Allow) C:\ProgramData\ceQeekg\protect\protect.exe FirewallRules: [{30DA2E0F-2263-4A8F-8A80-35A2C16A4D92}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\chrome.exe FirewallRules: [{D0D6D1F5-536D-4187-A4FC-86B7BF27912A}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Ariqockatidge C:\Program Files (x86)\ceQeekg C:\ProgramData\ceQeekg C:\Users\Szymon\AppData\Roaming\Mozilla C:\Users\Szymon\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Ustaw prawdziwą przeglądarkę Google Chrome jako domyślną w opcjach. 3. Zrób nowe logi FRST: - Tradycyjny log z opcji Skanuj, ponownie z Addition, ale już bez Shortcut. - W polu Szukaj wklej ceQeekg i klik w Szukaj w rejestrze. Dołącz też plik fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Zapomiałeś o pliku fixlog.txt, ale jeśli wszystko w nim jest oznaczone jako wykonane, to już sobie to darujmy. W zasadzie kończymy: 1. AdwCleaner wykrył tylko drobne szczątki adware w rejestrze. Uruchom go ponownie i zastosuj sekwencję opcji Skanuj + Usuń. 2. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Adobe Reader DC Polish (tylko instalacja najnowszej łatki) i Java (wymiana wersji). Linki do najnowszych wersji też w w/w temacie.

Wszystko wygląda bardzo dobrze. Drobne poprawki: 1. Zapuść fixlist.txt o następującej postaci: S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2945312 2016-01-14] (IObit) S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X] FirewallRules: [{6B74FE10-B8AB-4CFB-B3D5-4BD76562B1D0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe FirewallRules: [{840FD6D3-9F86-4A2D-8488-8957520E2A87}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe FirewallRules: [{B4DB720B-1CD5-43F2-B990-3717602F4E8A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe FirewallRules: [{E26FE15A-2626-448C-B7E9-06DC0E7E89B0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe FirewallRules: [{488BA956-F3BB-43B7-80A1-2E45717E8AA7}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe FirewallRules: [{CAF9B8F3-6AEF-4453-B426-C8A482DA8BD1}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\IObit RemoveDirectory: C:\Users\Bolec\AppData\Roaming\uTorrent RemoveDirectory: C:\Users\Bolec\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Bolec\Downloads\gmer CMD: del /q C:\TDSSKiller.3.1.0.9_13.07.2016_02.44.45_log.txt CMD: del /q C:\Users\Bolec\Downloads\gmer.zip Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Ale nowe raporty FRST dostarcz, wszystko musi być sprawdzone. Jeśli chodzi o programy zabezpieczające, to popatrz na listę w przyklejonym: KLIK.