picasso

Istotnie, jest tu w Harmonogramie zadań mocno podejrzany obiekt wyglądający jak malware, które udaje "Microsoft", a na dysku w katalogu system32 masowo tworzone foldery o "bełkotliwych" nazwach. Ponadto, FRST notuje jakąś niejasną usterkę WMI: ==================== Punkty Przywracania systemu ========================= 10-06-2016 21:52:26 Zaplanowany punkt kontrolny 11-06-2016 00:57:36 Zainstalowano: Microsoft Visual C++ 2005 Redistributable Sprawdź usługę "winmgmt" lub napraw WMI. Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {427CD3E5-B6B3-4901-A92F-53E9AB9F7C2B} - System32\Tasks\Anugcyucnogyi => C:\Windows\system32\Rahaqawi\Adafto.exe [2016-06-01] (Microsoft Corporation) Winlogon\Notify\igfxcui: igfxdev.dll [X] BootExecute: autocheck autochk * sdnclean.exe S3 catchme; \??\C:\Users\Admin\AppData\Local\Temp\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Winsock: Catalog5 08 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL Brak pliku Winsock: Catalog5 09 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-4117495662-1774613777-2529111306-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-4117495662-1774613777-2529111306-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xjrpv4k8.default\user.js [2016-06-09] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-4117495662-1774613777-2529111306-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Program Files\Spybot - Search & Destroy 2 C:\ProgramData\AVAST Software C:\ProgramData\Malwarebytes C:\ProgramData\Spybot - Search & Destroy C:\Users\Admin\AppData\Roaming\rmi C:\Users\Pracownik\AppData\Local\Olpus.cei C:\Users\Pracownik\AppData\Local\Ufhyvyg C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Windows\system32\Ancoiqveamitk C:\Windows\system32\Ehwavati C:\Windows\system32\Elymymfikaoxdu C:\Windows\system32\Esyxowqa C:\Windows\system32\Ifizuxifulf C:\Windows\system32\Liezquodbi C:\Windows\system32\Osofgiog C:\Windows\system32\Qezoabihloi C:\Windows\system32\Rahaqawi C:\Windows\system32\Rusiticiyp C:\Windows\system32\Suytgariwuepot C:\Windows\system32\Ufhyvygeuzz C:\Windows\system32\Xycotyfof C:\Windows\system32\Yvxielogyscusu C:\Windows\system32\Drivers\etc\hosts_bak_* C:\Windows\system32\Drivers\etc\hosts.* CMD: type C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini CMD: dir /a C:\Windows\system32 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Firefox masz starą wersję Adblock Plus bez podpisu cyfrowego. Odinstaluj go. Zamiennie proponuję uBlock Origin. 3. Zrób nowe logi: - Są tu dwa konta, Admin oraz Pracownik. Wymagane sprawdzenie raportów z każdego z osobna. Zaloguj się po kolei na każde konto poprzez pełny restart (a nie Wyloguj czy Przełącz użytkownika) i na każdym koncie zrób logi FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Na koncie limitowanym uruchom FRST przez dwuklik a nie "Uruchom jako administrator", by nie zmienić kontekstu konta. - Ponadto zrób log z narzędzia WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia: Start > w polu szukania wklep cmd > z prawokliku Uruchom jako administrator > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki. Dołącz też plik fixlog.txt. I potwierdź mi, że AmmyyAdmin to celowa instalacja.

W jakim rozumieniu "zniknęły", nie ma w ogóle katalogu E:\Gry?

1. System po formacie a już: Zainstalowany śmieć, czyli ByteFence Anti-Malware. Odinstaluj to, to niepożądany program (copycat programu Malwarebytes Anti-Malware). Zanieczyszczone adware "webssearches" preferencje Firefox. Najwyraźniej kopiowałeś profil Firefox przed formatem. Przeczyść konkretnie: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblok Plus trzeba będzie go przeinstalować. Niemniej zamiast niego polecam uBlock Origin. 2. O ile ręcznie ich nie usuwałeś z każdego folderu, zostały jeszcze notatki ransom Cerbera na dysku D. By je usunąć, możesz zapuścić taki oto skrypt fixlist.txt do FRST: CMD: attrib -r -h -s "D:\# DECRYPT MY FILES #.*" /s CMD: del /q /s "D:\# DECRYPT MY FILES #.*" To świeży system, więc możesz załadować zbiorczą paczkę instalującą wszystkie łaty wydane po SP1 do kwietnia 2016: - April 2015 servicing stack update (KB3020369) - Łata wymagana, by móc zainstalować poniższą zbiorczą. - Update for Windows 7 for x64-based Systems (KB3125574) - By pobrać tę paczkę, stronę musisz uruchomić z poziomu Internet Explorer a nie Firefox, podczas jej uruchamiania padnie pytanie o instalację ActiveX, którą należy zatwierdzić, by pokazała się zawartość katalogu. Po instalacji tego uruchom Windows Update, by dociągnąć drobniejsze wydania po kwietniu 2016. Pomocą służą dodatkowe programy z listy: KLIK. Ponadto, infekcje tego typu wchodzą też przez luki w oprogramowaniu i należy aktualizować system i softy. Oczywistym jest też, że należy robić kopie zapasowe cennych danych na odizolowanym nośniku zewnętrznym.

Konfiguracja skanu FRST: KLIK. Raport z FRST został zrobiony na innych ustawieniach niż zalecane. Odznaczyłeś pola w sekcji Filtrowanie, co spowodowało że pokazały się też poprawne wpisy umyślnie ukrywane, co tylko wydłuża analizę. Proszę trzymaj się ustawień podanych w przyklejonym temacie. Ogromna ilość infekcji: chińskie programy, infekcja DNS (zmodyfikowany plik systemu dnsapi.dll), infekcja WMI, podstawiony fałszywy profil Firefox. Działania do przeprowadzenia: 1. Deinstalacje adware (należy ją wykonać poza trybem awaryjnym): - Przez Panel sterowania odinstaluj: AdSkip, CleanBrowser, Compress, EasyHotspot version 1.0, groover, hohosearch - Uninstall. - Wejdź do folderów C:\Program Files\MPC Cleaner + C:\Program Files\Tencent. Wyszukaj deinstalatory, z prawokliku "Uruchom jako administrator", zresetuj system. Przypuszczalnie Tencent stawi opór, ale próbuj. 2. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe S2 4CF14471-2DB5-4622-9A5D-81788C0951D3; C:\Program Files\Nuvkiiwmomdirh\Tydusat.exe [271360 2016-06-15] () [brak podpisu cyfrowego] S2 ADSkipSvc; C:\Program Files\ADSKIP\ADSkipSvc.exe [129144 2016-05-11] () S2 Huhcadj; C:\Users\Serwis\AppData\Roaming\Xyqoufob\Xyqoufob.exe [170496 2016-06-15] () [brak podpisu cyfrowego] S2 Nuvkiiwmomdirh Updater; C:\Program Files\Nuvkiiwmomdirh\Lopgostu.exe [267776 2016-06-15] () [brak podpisu cyfrowego] S2 ProntSpooler; C:\Users\Serwis\AppData\Local\Apps\2.0\abril.exe [134656 2016-05-19] () [brak podpisu cyfrowego] R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-06-15] (Tencent) S2 QQRepair24ab; C:\Program Files\Tencent\QQPCMGR\QQRepair24ab [147176 2016-06-15] () S2 QQRepairFixSVC; C:\Program Files\Tencent\QQPCMGR\QQRepairFixSVC [147176 2016-06-15] () S2 ziphost; C:\Program Files\ZipTool\ziphost.dll [114080 2015-11-30] () S2 ArerackServerService; "C:\Program Files\Arerack\ArerackServerService.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] S3 blNetFilter; C:\Windows\system32\drivers\blNetFilter.sys [43912 2016-05-11] () R1 bsdp32; C:\Windows\system32\Drivers\bsdp32.sys [32576 2016-06-15] () S1 QMUdisk; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMUdisk.sys [104440 2016-05-18] (Tencent) S1 QQPCHelper; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCHelper.sys [34936 2016-06-15] (Tencent) S2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQSysMon.sys [120952 2016-06-15] (电脑管家) S1 softaal; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\softaal.sys [45816 2016-06-15] (Tencent) S3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator.sys [126008 2016-06-15] (Tencent) S1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel.sys [109688 2016-06-15] (Tencent Technology(Shenzhen) Company Limited) S3 TFsFlt; C:\Windows\System32\Drivers\TFsFlt.sys [159608 2016-06-15] (电脑管家) S1 TSDefenseBt; C:\Windows\System32\DRIVERS\TSDefenseBt.sys [14008 2016-06-15] (Tencent) R0 TsFltMgr; C:\Windows\System32\drivers\TsFltMgr.sys [137816 2016-06-15] (电脑管家) S1 TSKSP; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TSKsp.sys [220984 2016-06-15] (电脑管家) S2 tsnethlp; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TsNetHlp.sys [53368 2016-06-15] () S3 TSSK; C:\Windows\System32\tssk.sys [83576 2016-06-15] (电脑管家) R0 YJSPVTFSCR; C:\Windows\System32\Drivers\askProtect.sys [200072 2016-05-11] () S1 ZipProtect; c:\program files\ziptool\ZipProtect.sys [515824 2015-12-14] () S2 Ca1628av; System32\Drivers\Ca1628av.sys [X] S3 MarkFun_NT; \??\C:\Program Files\Gigabyte\ET5\markfun.w32 [X] S1 SRepairDrv; \??\C:\Program Files\Tencent\QQPCMGR\SRepairDrv [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdp32.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdp32.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\...\Run: [apphide] => C:\Program Files\badu\qq.exe [499802 2016-06-11] () HKLM\...\Run: [EasyHotspot] => C:\Program Files\EasyHotspot\EasyHotspot.exe [2622976 2016-04-18] (CSDI) HKLM\...\Run: [ QQPCTray] => C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-06-15] (Tencent) HKLM\...\RunOnce: [iDSCPRODUCT] => C:\Program Files\EasyHotspot\idscservice.exe [60416 2016-06-15] ( HKLM\...\RunOnce: [OTUTPRODUCT_P1QD2] => C:\Program Files\mpck\otutnetwork.exe [314880 2016-06-15] () HKLM\...\Winlogon: [userinit] wscript C:\Windows\run.vbs, HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1431477904-2404962558-605509844-1000\...\Run: [QGuan10in12] => C:\Users\Serwis\AppData\Roaming\UPUpdata\service90132.exe [1945600 2016-06-15] () HKU\S-1-5-21-1431477904-2404962558-605509844-1000\...\Run: [msiql] => C:\Users\Serwis\AppData\Roaming\UPUpdata\msiql.exe [1902080 2016-06-15] () HKU\S-1-5-21-1431477904-2404962558-605509844-1000\...\Run: [QGuan10in1] => C:\Users\Serwis\AppData\Roaming\UPUpdata\service72564.exe [1945600 2016-06-15] () ShellExecuteHooks: - {98C066AB-D735-4339-9E52-A34875141B56} - C:\Users\Serwis\AppData\Roaming\Microsoft\Windows\Cookies\grumak.dll [316088 2016-06-14] () ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt.dll [2016-06-15] (Tencent) ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => C:\Program Files\ZipTool\JZipExt.dll [2015-11-30] () BHO: Nuvkiiwmomdirh -> {9A714587-DD25-4BD8-8938-EAE3940B98B1} -> C:\Program Files\Nuvkiiwmomdirh\Vidci.dll [2016-06-15] () FF Plugin: @qq.com/QQPCMgr -> C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\npQMExtensionsMozilla.dll [2016-06-15] (Tencent Technology (Shenzhen) Company Limited) Task: {096E5706-630A-4C23-8B03-0C34C51376CB} - System32\Tasks\{7F556B9D-27BB-4A07-AC67-C8C781A3D2BC} => pcalua.exe -a C:\WINDOWS\ISUNINST.EXE -c -f"C:\Program Files\Gigabyte\ET5\Uninst.isu" -c"C:\Program Files\Gigabyte\ET5\uninstdrv.dll" Task: {360D6C92-FB18-4EE1-AA28-1766F0B0E2B7} - System32\Tasks\{4CB3C0B7-F0C4-4F53-8728-A2CC9DBBD64D} => pcalua.exe -a H:\SETUP.EXE -d H:\ Task: {4A682105-BE16-4F9D-95E9-82F6A8675599} - System32\Tasks\Arerack Server => C:\Program Files\Arerack\ArerackServerTask.exe [2016-06-14] () Task: {56C540C6-1C9A-4C5E-AE97-3255400EEB2C} - System32\Tasks\tasklist => C:\Users\Serwis\AppData\Roaming\UPUpdata\service72564.exe [2016-06-15] () Task: {5ACDFC22-1CAF-424B-91B8-1817E4F08D13} - System32\Tasks\{00D8F59D-6355-4320-B656-047D4C30E9B3} => pcalua.exe -a "G:\Radio Code\SAMOCHODY\IMMOBILIZER\immo_soft\Loader.exe" Task: {B433477F-0A53-4761-97C9-E89B7A0FF50B} - System32\Tasks\{11403C9E-61E0-4B9C-9504-953691A52CDB} => pcalua.exe -a G:\Programatory\setup97ja.exe -d G:\Programatory Task: {D766EBAE-00E2-48BD-AB1C-EB468F980EEB} - System32\Tasks\{4240F6B0-999B-41A0-8684-C12891E7CDDF} => pcalua.exe -a "G:\Radio Code\SAMOCHODY\IMMOBILIZER\immo_soft\IMMOdecoder.exe" Task: {DCD321CF-F4D8-4AB5-B4AA-08F868508DAC} - System32\Tasks\{84127E72-29F0-441F-8636-3FEA3CBFD515} => pcalua.exe -a I:\vcredist_x64.exe -d I:\ -c /q Tcpip\..\Interfaces\{0D2388DF-3057-4C45-A1AD-F255975D7760}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{6D5499AB-547E-439A-99DF-01AA3724394E}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{7B6720DA-83C2-42F0-8C02-023D8CFDE8A0}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{9DA41E12-3CEE-4C4D-A802-D3B75618EDDD}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{e29ac6c2-7037-11de-816d-806e6f6e6963}: [NameServer] 104.197.191.4 WMI_ActiveScriptEventConsumer_ASEC: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.hao123.com/?tn=90098758_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://www.hao123.com/?tn=90098758_hao_pg HKU\S-1-5-21-1431477904-2404962558-605509844-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.hao123.com/?tn=90098758_hao_pg HKU\S-1-5-21-1431477904-2404962558-605509844-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://www.hao123.com/?tn=90098758_hao_pg FirewallRules: [{BA7B264F-91FE-4BA5-B5FC-C5910471F06D}] => (Allow) C:\Program Files\ADSKIP\ADSkip.exe FirewallRules: [{88963AA8-35CC-4C4E-8A69-5E15DF794BB5}] => (Allow) C:\Program Files\ADSKIP\ADSkipSvc.exe FirewallRules: [{583D1364-F5E0-4A6B-BA31-0481645F7FD3}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCmgrInstallGuide.exe FirewallRules: [{51A67260-7EF5-45B6-A7A5-D3EAA8CA4F66}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe FirewallRules: [{0FA725BB-9BD2-40A6-87D3-EA17FD369463}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCMgr.exe FirewallRules: [{E4737BD1-3948-4431-8A66-FD1858B644B9}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe FirewallRules: [{B37795DE-3551-4B7A-998C-1C07A7DBD534}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMDL.exe FirewallRules: [{0C12E439-6898-4FCE-BCC0-3B0EA833D2F3}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\bugreport.exe FirewallRules: [{1A7EFB1D-0B61-404E-901F-2D2E67CAA5AB}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{E09C8D87-FA76-4FF8-B9F0-D2FDA2AB9A65}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCFileOpen.exe FirewallRules: [{BACABF39-2C61-4CDB-9B95-51C19F088E2A}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{1E2079EF-5B98-4055-9782-D601737D90CD}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCLeakScan.exe FirewallRules: [{0C42BD49-5C02-4FC9-BB5D-E7C749378F67}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPConfig.exe FirewallRules: [{70249663-419B-4DAC-A31D-2F40BA4C5BFD}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCSoftMgr.exe FirewallRules: [{7EBBC529-2F2A-4F27-BCB7-848F81A46F3D}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\plugins\QMNetMon\QQPCNetFlow.exe FirewallRules: [{3C3B0FCB-E14A-43AF-BF09-C3E78C6CB635}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCBTU.exe FirewallRules: [{4485A483-E11F-4393-B454-9FE8BC7D5C8A}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCClinic.exe FirewallRules: [{A9A42589-062C-40C3-8EA0-C597C509301D}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCLaunch.exe FirewallRules: [{51DA95C7-3B17-4658-8131-C798344CBF8B}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{5F6B87B1-275B-412B-A287-4E6045558C08}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCSoftGame.exe FirewallRules: [{BEBDBAD9-9A71-4F47-B737-F847FD560BAC}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCSysOptimize.exe FirewallRules: [{03AFCFDA-671F-46F3-922A-C70473CB4019}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCUpdateAVLib.exe FirewallRules: [{EB01873C-6B5B-41FE-89A1-4726638C04C6}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQRepair.exe FirewallRules: [{C5E5B65D-26AF-4540-8457-F4576D961560}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\Uninst.exe FirewallRules: [{61370178-1ED8-49A8-8AC6-C49D30479F04}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCPatch.exe FirewallRules: [{8995C442-A354-45AB-B3E4-0EE58CF6E509}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TpkUpdate.exe FirewallRules: [{51F88AFE-EE60-490B-B927-5775B864D9B2}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMRouterMgr.exe FirewallRules: [{6231A899-0506-4F82-A4D4-6D988B3D2296}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMAccountProtection.exe FirewallRules: [{E7B4421F-8EB3-452E-9E7A-844205EA464D}] => (Allow) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMAdBlock.exe AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Tencent Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f CMD: for %i in ("C:\Program Files\ZipTool\*.dll") do regsvr32 /s /u %i CMD: for %i in ("C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\*.dll") do regsvr32 /s /u %i C:\Program Files\mshexc.bmp C:\Program Files\ADSKIP C:\Program Files\Arerack C:\Program Files\badu C:\Program Files\CleanBrowser C:\Program Files\EasyHotspot C:\Program Files\Mozilla Firefox\plugins C:\Program Files\MPC Cleaner C:\Program Files\mpck C:\Program Files\Nuvkiiwmomdirh C:\Program Files\NuvkiiwmomdirhUn C:\Program Files\Shoruyjjsp C:\Program Files\Tencent C:\Program Files\Wutaingjlaph C:\Program Files\ZipTool C:\Program Files\Common Files\Tencent C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\uninst C:\Users\Serwis\AppData\Local\app C:\Users\Serwis\AppData\Local\csdi_monetize_120160614 C:\Users\Serwis\AppData\Local\Tempfolder C:\Users\Serwis\AppData\Local\tuto_monetize_120160614 C:\Users\Serwis\AppData\Local\Apps\2.0\abril.exe C:\Users\Serwis\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Serwis\AppData\LocalLow\Company C:\Users\Serwis\AppData\LocalLow00237270 C:\Users\Serwis\AppData\LocalLow0036CAA8 C:\Users\Serwis\AppData\Roaming\*.* C:\Users\Serwis\AppData\Roaming\ADSKIP C:\Users\Serwis\AppData\Roaming\MCorp C:\Users\Serwis\AppData\Roaming\Tencent C:\Users\Serwis\AppData\Roaming\UPUpdata C:\Users\Serwis\AppData\Roaming\Xyqoufob C:\Users\Serwis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\AdSkip.lnk C:\Users\Serwis\AppData\Roaming\Microsoft\Windows\Cookies\grumak.dll C:\Users\Serwis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AdSkip C:\Users\Serwis\Desktop\AdSkip.lnk C:\Users\Serwis\Desktop\AutoTime.lnk C:\Users\Serwis\Desktop\EasyHotspot.lnk C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Windows\system32\TSSK.sys C:\Windows\system32\mhl C:\Windows\system32\Drivers\askProtect.sys C:\Windows\system32\Drivers\blNetFilter.sys C:\Windows\system32\Drivers\bsdp32.sys C:\Windows\system32\Drivers\TAOAccelerator.sys C:\Windows\system32\Drivers\TAOKernel.sys C:\Windows\system32\Drivers\TFsFlt.sys C:\Windows\system32\Drivers\TSDefenseBt.sys C:\Windows\system32\Drivers\TsFltMgr.sys C:\Windows\system32\Drivers\etc\hp.bak CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Operacje związane z usuwaniem profilu adware w Firefox: - Wyeksportuj z obecnego profilu zakładki, o ile w ogóle cokolwiek jest. Zamknij Firefox. - Klawisz z flagą Windows + R i wklej poniższe polecenie, co otworzy Menedżer profilów. Załóż świeży profil a dwa pozostałe widoczne w oknie całkowicie skasuj. "C:\Program Files\Mozilla Firefox\firefox.exe" -p 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też pliki fixlog.txt + RepairDNS.txt.

Temat sprzątam. W zasadach jest także wzmiankowane, by opisać problem. Raporty są bardzo ograniczone tylko do specyficznych miejsc i wymagam tekstowego opisu. W skrócie opisz swój problem, tytuł tematu zostanie zmieniony na odpowiedniejszy pasujący do problemu. Działania nie ograniczą się przecież do "skryptu". Jeśli rzecz o brakujących raportach (choć GMER już uzupełniony): - FRST nie działa na tym samym poziomie co GMER (nie ma własnego sterownika wysokiego dostępu), co powoduje że mogą się przed nim określone obiekty ukryć i nie będą w ogóle widoczne w raporcie. Stąd też obowiązkowym logiem jest i GMER. - Shortcut jest potrzebny, gdyż w Addition są tylko niektóre skróty wyliczane. W raportach widać szkodliwe proxy, zmodyfikowane skróty przeglądarek oraz kilka obiektów startowych adware. Poza tym, adware wstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData. Przyczyną problemów był poniższy plik, pomijając już to że miał być związany z crackiem, to nawet nie jest poprawny instalator cracka tylko downloader z adware: 2016-06-10 23:18 - 2016-06-10 23:18 - 04084912 _____ (WrldNtn inc) C:\Users\Mariolka\Downloads\Axure_RP_8_Crack__downloader.exe. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 QifiryplohelebuilderSrv; "C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] Task: {DC2FD428-B3BB-42B9-80DB-1B56886040CD} - System32\Tasks\{B0F9E0DB-ADCB-40EC-8441-ECBBAC543866} => pcalua.exe -a "C:\Program Files (x86)\Common Files\BioIty\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\BioIty\uninstall.dat" -a uninstallme 06B018B8-ED67-471B-91D8-11F9A80D0AA1 DeviceId=e7cbb34f-0f7e-2c4e-4128-676836156ed0 BarcodeId=51129011 ChannelId=11 DistributerName=APSFSWAds HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe HKLM-x32\...\Run: [sun21] => "C:\Program Files (x86)\SunnyDay21\SunnyDay.exe" HKLM\...\RunOnce: [WINDOWS_SCREEN_MANAGER_UPDATER_1] => C:\Users\Mariolka\AppData\Roaming\ahtSR\Windows screen manage updater.exe [16896 2016-06-10] (Wizzservices) HKLM\...\RunOnce: [WEPRODUCT618F5] => C:\Users\Mariolka\AppData\Local\Temp\7E3RP1EXJ6.exe [22016 2016-06-10] (Animal) HKU\S-1-5-21-887697183-1252705721-1128697598-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-887697183-1252705721-1128697598-1000\...\MountPoints2: {d4142762-fc36-11e5-a951-240a64524fac} - F:\HTC_Sync_Manager_PC.exe SearchScopes: HKLM-x32 -> DefaultScope - brak wartości FirewallRules: [{0700FDCC-0BA7-42F2-A238-CB4005D1D093}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600" ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600" ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600" ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600" ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465593507&a=1006158&src=sh&uuid=22195541-4531-4319-8e37-fae91e4c8600" DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06B018B8-ED67-471B-91D8-11F9A80D0AA1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Bmotain C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Puntehesy C:\Program Files (x86)\Common Files\BioIty C:\ProgramData\{055B5F86-6866-40AB-BB69-EDC73E70E893} C:\ProgramData\{358C58B0-8ACD-4AFC-A78E-F60204B67F56} C:\ProgramData\Utatitys C:\Users\Mariolka\AppData\Local\*.* C:\Users\Mariolka\AppData\Roaming\*.* C:\Users\Mariolka\AppData\Roaming\ahtSR C:\Users\Mariolka\AppData\Roaming\Mozilla C:\Users\Mariolka\Downloads\Axure_RP_8_Crack__downloader.exe C:\Users\Mariolka\Downloads\Niepotwierdzony 322688.crdownload C:\Users\Mariolka\Downloads\Hola-Setup.exe RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > na liście powinien być user0 (to profil utworzony porzez adware). Jeśli widać inny profil prócz wymienianego, to się od razu na niego zaloguj. Jeśli jednak to jedyna widoczna "Osoba", skorzystaj z opcji Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz brakujące pole Shortcut. Dołącz też plik fixlog.txt.

Nadal widoczna ogromna ilość aktywnych śmieci adware. Działania do przeprowadzenia: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalatora "Uruchom jako administratot". Zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Gatvokgeu; C:\Users\Miłosz\AppData\Roaming\Wolcacfent\Wolcacfent.exe [170496 2016-06-13] () [brak podpisu cyfrowego] R2 Macjebsh; C:\Users\Miłosz\AppData\Roaming\Fuwijoagky\Fuwijoagky.exe [170496 2016-06-12] () [brak podpisu cyfrowego] R2 Uvupzeqq; C:\Users\Miłosz\AppData\Roaming\OuniilGesjau\Eivynf.exe [121344 2016-06-13] () [brak podpisu cyfrowego] S2 Konksolex; C:\ProgramData\\Konksolex\\Konksolex.exe shuz -f "C:\ProgramData\\Konksolex\\Konksolex.dat" -l -a S2 ktip; Brak ImagePath S3 blNetFilter; \??\C:\Windows\system32\drivers\blNetFilter.sys [X] HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\...\Run: [QGuan10in12] => C:\Users\Miłosz\AppData\Roaming\UPUpdata\service90132.exe /autorun HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\...\Run: [QGuan10in1] => C:\Users\Miłosz\AppData\Roaming\UPUpdata\service72564.exe /autorun AppInit_DLLs: C:\ProgramData\Konksolex\Consing.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Konksolex\BioJayair.dll => Brak pliku ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll Brak pliku Task: {71ABE0A4-C140-46E5-861F-9DB8F7B03BDB} - System32\Tasks\{B83A7B4D-B1D1-4AB8-81AE-11CAA0590EF1} => pcalua.exe -a "C:\Program Files (x86)\Hostify\uninstaller.exe" Task: {75536DAD-0AB1-41F3-AC75-3EE32469126D} - System32\Tasks\{DDB87F90-E410-47D8-A809-66F68150752B} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Holdtop\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Holdtop\uninstall.dat" -a uninstallme 5EFCBFA2-A8E1-4276-B180-4E7391134263 DeviceId=1d3dadad-c54d-c172-e170-de801dcdccde BarcodeId=51113011 ChannelId=11 DistributerName=APSFTuto4PC Task: {8FC56435-F164-4A0F-9D90-FCEFB608DADF} - System32\Tasks\{305AED41-8A8F-4374-A5BB-64234BFDECAD} => Chrome.exe hxxp://ui.skype.com/ui/0/7.18.0.109/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {F6F25743-0099-4E3E-80E5-0F8D72B8D029} - System32\Tasks\MiłoszMulberryIodinesV2 => Rundll32.exe NonphysiologicalScapulae.dll,main 7 1 ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3088862897-2558729093-2797936310-1000 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat => Brak pliku CHR HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5EFCBFA2-A8E1-4276-B180-4E7391134263} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Wuctopl C:\Program Files (x86)\Atatuch C:\Program Files (x86)\Libasaraming C:\Program Files (x86)\MPC Cleaner C:\ProgramData\Konksolexs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\Miłosz\AppData\Local\MulberryIodines C:\Users\Miłosz\AppData\Local\Tempfolder C:\Users\Miłosz\AppData\Local\UCBrowser C:\Users\Miłosz\AppData\LocalLow0065F5D8 C:\Users\Miłosz\AppData\LocalLow002CA990 C:\Users\Miłosz\AppData\LocalLow00282010 C:\Users\Miłosz\AppData\LocalLow00000000030B73D8 C:\Users\Miłosz\AppData\LocalLow00534960 C:\Users\Miłosz\AppData\LocalLow004F2010 C:\Users\Miłosz\AppData\LocalLow000000000051D5D8 C:\Users\Miłosz\AppData\LocalLow\Company C:\Users\Miłosz\AppData\Roaming\*.* C:\Users\Miłosz\AppData\Roaming\PriceFountainUpdateVer C:\Users\Miłosz\AppData\Roaming\Fuwijoagky C:\Users\Miłosz\AppData\Roaming\gplyra C:\Users\Miłosz\AppData\Roaming\MCorp C:\Users\Miłosz\AppData\Roaming\Mozilla C:\Users\Miłosz\AppData\Roaming\Nwd6g C:\Users\Miłosz\AppData\Roaming\oSVja C:\Users\Miłosz\AppData\Roaming\OuniilGesjau C:\Users\Miłosz\AppData\Roaming\Wolcacfent C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Users\Mi硂sz C:\Windows\system32\aan C:\Windows\system32\des C:\Windows\system32\eag C:\Windows\system32\joxp C:\Windows\system32\mix C:\Windows\system32\mufl C:\Windows\system32\pori C:\Windows\system32\vepg C:\Windows\system32\Drivers\etc\hp.bak RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData. Należy go usunąć i przywrócić poprzedni, a jeśli poprzedni niedostępny to założyć całkowicie nowy. Czyli: Ustawienia > karta Ustawienia > Osoby > na liście powinien być user0 (to profil utworzony porzez adware). Jeśli to jedyna widoczna "Osoba", skorzystaj z opcji Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Rucek Spybot chyba Ci się pomylił ze SpyHunterem. Spybot nie jest naciągaczem, tylko po prostu przestarzałym programem o bardzo niskiej dziś skuteczności. Arek1 Na przyszłość: trzymaj się konfiguracji FRST podanej tu na forum. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. I preferowana metoda prezentacji raportów to załączniki forum. Nie wykonałeś instrukcji: KLIK. W raporcie multum czynnych sterowników od emulacji: R3 dtlitescsibus; C:\Windows\System32\DRIVERS\dtlitescsibus.sys [30264 2016-03-08] (Disc Soft Ltd) R3 dtliteusbbus; C:\Windows\System32\DRIVERS\dtliteusbbus.sys [47672 2016-03-08] (Disc Soft Ltd) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [381608 2016-03-08] (Duplex Secure Ltd.) U3 aizkh79s; C:\Windows\System32\Drivers\aizkh79s.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder) Opis infekcji Cerber: KLIK, KLIK. Odkodowanie danych jest niemożliwe. Jedyne czym jestem w stanie się zająć, to usunięcie infekcji oraz dodanych przez nią notatek ransom. Zaszyfrowane dane (nie są groźne) to zupełnie odrębne zagadnienie. Na chwilę obecną nie ma żadnego ratunku. Infekcja jest nadal aktywna w Twoim systemie (fałszywe obiekty "Adobe"), czyli szyfruje wszystkie świeżo podpinane dyski, i trzeba podjąć akcje usuwające. To działania doraźne, na dalszą metę sugerowany format dysku systemowego. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [mtstocom] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [sbunattend] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\sbunattend.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [poqexec] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\poqexec.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [DisplaySwitch] => "C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\DisplaySwitch.exe" HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\RunOnce: [mtstocom] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\RunOnce: [sbunattend] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\sbunattend.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\RunOnce: [poqexec] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\poqexec.exe [275236 2015-10-20] (Adobe Systems Incorporated) HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Policies\Explorer: [] HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Policies\Explorer: [Run] "C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe" HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe [275236 2015-10-20] (Adobe Systems Incorporated) Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cmdkey.lnk [2016-06-14] Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DisplaySwitch.lnk [2016-06-14] Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mtstocom.lnk [2016-06-14] Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\poqexec.lnk [2016-06-14] Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sbunattend.lnk [2016-06-14] BootExecute: autocheck autochk * sdnclean64.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = CustomCLSID: HKU\S-1-5-21-1877261336-1626017494-2063700226-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1877261336-1626017494-2063700226-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe => Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF SelectedSearchEngine: webssearches FF HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Arek\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi StartMenuInternet: FIREFOX.EXE - firefox.exe DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDScannerService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDUpdateService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDWSCService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SFAUpdater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor C:\ProgramData\mntemp C:\ProgramData\TEMP C:\Program Files (x86)\Smart File Advisor C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF} CMD: netsh advfirewall reset CMD: attrib -r -h -s "C:\# DECRYPT MY FILES #.*" /s CMD: attrib -r -h -s "D:\# DECRYPT MY FILES #.*" /s CMD: del /q /s "C:\# DECRYPT MY FILES #.*" CMD: del /q /s "D:\# DECRYPT MY FILES #.*" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Prócz Spybota, odinstaluj Ace Stream Media 3.1.6. Wbudowany moduł adware preaktywowany po określonym przedziale czasu. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik Fixlog może być ogromny, ze względu na rekursywne usuwanie plików notatek ransom # DECRYPT MY FILES #.* z dysków C i D. Jeśli się nie zmieści w załączniku forum, shostuj gdzieś i podaj do niego link.

Jeśli chodzi wyłącznie o Kosz, to przywrócenie obiektów z niego nie odwróci żadnych działań tu wykonanych.

Muszkers, widzę że drążysz w kółko temat DNS w oparciu o raporty FRST: Temat 1, Temat 2. Sugeruję odczepić się od tego na dobre. Problemem nie jest żaden ESET, infekcje ani inne sprawy pokrewne. To jest problem innej natury i nie bez kozery przesunęłam temat do działu Sieci. ¤¤¤ Rootkity : 7 (Driver: załadowano) ¤¤¤ [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_CREATE[0] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_CLOSE[2] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_POWER[22] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0xfffffa80049f12c0 [IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_PNP[27] : Unknown @ 0xfffffa80049f12c0 To nie są "rootkity" tylko efekt aktywności sterownika SPTD od emulacji napędów (DEAMON Tools / Alcohol): Oprogramowanie emulujące napędy Z Twoich poprzednich raportów na Fixitpc: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [560184 2016-02-29] (Duplex Secure Ltd.) U3 a9148jez; C:\Windows\System32\Drivers\a9148jez.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder) To ten sterownik emulacji produkuje hooki notowane w Rogue Killer oraz w GMER:

Skan FRST wykonuje się szybko, nie powinien trwać dłużej niż kilka / kilkanaście minut. W tej sytuacji spróbuj zrobić raporty FRST z poziomu Trybu awaryjnego Windows.

1. AdwCleaner znalazł dużo szczątków adware. Uruchom go ponownie i po kolei wybierz opcję Skanuj + Usuń. Gdy program ukończy czyszczenie, wywołaj opcję Odinstaluj. 2. Zrób skan za pomocą Hitman Pro. Dostarcz log wynikowy, o ile zostanie wykryte coś innego niż FRST64.exe jako "podejrzany plik" (fałszywy alarm). Po ukończeniu czyszczenia możesz go przywrócić. Tak, gdyż w skrypcie było usuwanie tego folderu z dysku: C:\Users\Ja\AppData\Roaming\Mozilla => pomyślnie przeniesiono

Skasuj z dysku plik C:\delfix.txt. Temat zamykam.

Spróbuj uruchomić skaner z poziomu trybu awaryjnego Windows.

Na komunikacie obiekt Comodo, ale dodatkowo zielona obwódka wokół okna FRST, co oznacza że FRST działa wirtualnie w piaskownicy Comodo i żadne zmiany się nie wykonają. FRST nie może działać w piaskownicy, bo nic nie wykona. Proszę autoryzuj program w Comodo oraz wyłącz Comodo całkowicie na czas operacji z FRST.

Tu może być też modyfikacja w globalnych plikach przeglądarek, jest to nie do wykrycia za pomocą raportu FRST. Proponuję zrobić jeszcze jedną próbę, czyli całkowicie przeinstalować przeglądarki. Z obu wyeksportuj zakładki. Następnie odinstaluj. Po deinstalacji usuń te foldery z dysku: C:\Program Files\Google (ten folder prawdopodobnie w ogóle nieobecny, masz zainstalowane Chrome w trybie "per user") C:\Program Files\Mozilla Firefox C:\Documents and Settings\QZCA\Dane aplikacji\Mozilla C:\Documents and Settings\QZCA\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\QZCA\Ustawienia lokalne\Dane aplikacji\Mozilla Zainstaluj ponownie przeglądarki.

Podaj przykładowe strony na których się to dzieje. Dodatkowo, w związku z tym tajemniczym odczytem w GMER którego do niczego nie można przypasować, uruchom Kaspersky TDSSKiller. Jeśli coś wykryje, dostarcz log, w przeciwnym wypadku jest on zbędny. To nie wygląda na infekcję w sektorze rozruchowym. Ale szczerze namawiam na przejście na nowszy system. XP nie jest bezpieczną platformą, nie jest już wspierany i aktualizowany, jest ograniczane też wsparcie ze strony innych aplikacji. Przykładowo posiadasz starszą wersję Google Chrome 49, nie zainstalujesz już najnowszej. 49 to ostatnia wersja działająca na XP. Sprawdź czy na nowym profilu Chrome też ujawnia się ten efekt: Ustawienia > karta Ustawienia > Osoby > Dodaj nową i zaloguj się na nią.

Ponów uruchomienie narzędzia z poziomu Trybu awaryjnego Windows.

Nareszcie wszystko wykonane. Poprawki: 1. W Google Chrome nadal widać przycisk strony startowej adware. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres "z procentami". 2. Wcześniej już był uruchamiany AdwCleaner, ale mocowaliśmy się z Comodo, który odkręcał stan systemu. Poproszę o ponowne uruchomienie programu. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Po prostu tymczasowo ustaw w opcjach dowolną inną tapetę, następnie z powrotem przestaw na bieżącą. To powinno przebić aktualne ustawienia rejestru, które nadal się odnoszą do ścieżki Mozilla, właśnie usuniętej skryptem. Tak, to stało się nieaktualne w momencie, gdy wyraźnie podałam nowy skrypt do zastosowania w awaryjnym, rozszerzony też o usuwanie strumieni ADS pozostawionych po odinstalowanym Comodo. Spróbuj przeinstalować aplikację Acera Launch Manager.

Ten błąd jest charakterystyczny, gdy na liście jest zaznaczona martwa pozycja oznaczona etykietą (BRAK) lub inny niedostępny wolumin. W tym przypadku należy odznaczyć tę pozycję i zaznaczyć właściwy wolumin z systemem. Można usunąć. I to jakieś stare "zachomikowane" obiekty.

Sprawdź czy coś pomoże wyłączenie akceleracji sprzętowej: KLIK. I może to być problem starych sterowników graficznych nVidia. Pokaż na obrazku o które miejsce chodzi. Ponadto, "nie działa" oznacza brak reakcji?

Temat posprzątałam doprowadzając do formy oczekiwanej tu na starcie. W raportach żadnych śladów infekcji, a czynności wykonane na poprzednim forum miały charakter podrzędny i na pewno żaden z usuwanych wpisów nie miał związku z objawami. To były drobne szczątki adware i puste wpisy. Do wykonania byłyby jeszcze drobne korekty, ale tym się nie zajmuję na razie, gdyż nie ma to znaczenia pod kątem problemu zasadniczego. Nie podałeś jaki szkodliwy plik i co konkretnie robiłeś po jego ściągnięciu (uruchomiony? jakieś inne konsekwencje?). Niemniej mnie się wydaje, że to czysty przypadek. Objaw wygląda jak permanentnie wciśnięte / zablokowane klawisze CTRL i ALT, co raczej wskazuje na problem mechaniczny klawiatury (brud, zalanie, fizyczne uszkodzenie). Pytaniem więc jest co się dzieje podczas celowej próby wciśnięcia tej "polskiej" kombinacji, czy to przypadkiem nie tworzy odwrotności zachowania? Ponadto, możesz sprawdzić co powie program PassMark KeyboardTest, czy oznaczy te klawisze jako problematyczne. I w tej sytuacji wypada sprawdzić stan klawiatury (czyszczenie) oraz zachowanie innej klawiatury. Jeśli to laptop, odłączyć wewnętrzną i podpiąć zewnętrzną klawiaturę do testu.

AdwCleaner znalazł sporo śmieci. Uruchom go ponownie, następnie po kolei wdróż sekwencję opcji Skanuj + Usuń. Jak to się konkretnie objawia, jakiś błąd, czarny ekran, inne? Czy wtyczka Adobe Flash jest widoczna w menedżerze dodatków? Czy próbowałeś przeinstalować Adobe Flash Player 21 NPAPI?

Poprawki: 1. Otwórz Notatnik i wklej w nim: Google Update Helper (Version: 1.3.23.0 - DealPly Technologies Ltd) Hidden C:\Documents and Settings\All Users\Dane aplikacji\McAfee C:\Documents and Settings\All Users\Menu Start\Programy\QuickTime C:\Documents and Settings\QZCA\Ustawienia lokalne\Dane aplikacji\Unity C:\Program Files\QuickTime Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Po akcji na liście Dodaj/Usuń programy uwidoczni się wejście Google Update Helper. Spróbuj je w normalny sposób odinstalować, choć przypuszczam że mogą wystąpić błędy. Dodatkowo, odinstaluj naruszony program WinZip Driver Updater, jakoś go przeoczyłam na liście, pomimo że usuwałam jego martwe skróty. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Jakie strony i w której przeglądarce?

Pomiń następujące wyniki: wszystkie wystąpienia "Suspicious files" oraz rekordy DriverRestore w sekcji "Potential Unwanted Programs". Reszta wyników do usunięcia. Na koniec wyczyść foldery Przywracania systemu: KLIK.

Tak, DelFix nie skanuje rekursywnie lokalizacji Pulpitu. Z tego powodu zaleciłam ręczne usunięcie FRST i jego logów z tego katalogu. To nie była instrukcja związana z DelFix...