picasso

Nadal duża ilość elementów adware w systemie, w tym aktywne "bezplikowe" malware uruchamiane via PowerShell. Jeśli chodzi o Google Chrome, czy "musiałem zrezygnować z jego używania" mam rozumieć, że jest jakoby "odinstalowane"? Deinstalację sugeruje brak wejścia Chrome na liście zainstalowanych oraz punkt Przywracania systemu zrobiony przez Revo. Z drugiej strony, ogromna ilość elementów Chrome w systemie: na dysku profile przeglądarki, pełne foldery i aktywny aktualizator produktów Google. Zakładając, że tu była "deinstalacja", to odbyła się po łebkach i nie wybrałeś w dialogu deinstalacji usuwania "danych przeglądania", co ma skutek w pozostawieniu na dysku profilów - przy kolejnej instalacji Chrome przeglądarka zaadaptowałaby zaśmiecony profil. wątek Chrome zostawiam na potem, gdyż musisz mi potwierdzić co mam zrobić z widocznymi elementami przeglądarki. Wstępne operacje do wdrożenia: 1. Odinstaluj starą wersję Adobe Flash Player 20 ActiveX & Plugins i odpadek Mozilla Maintenance Service. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Run: [{9CD57532-9BB5-459D-B5D5-840D5AAED44D}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\NUECUUXTIQBZHBX').ILBYHCJBDSD))); Task: {1BE873C0-1C81-4B05-B414-F3554339F4B7} - System32\Tasks\{4C6C9FFE-8DE6-47CE-A3F1-B4B7FA0B06FA} => pcalua.exe -a "C:\Users\Dominik\Documents\Instalki i Programy testowe\Instalki i Programy testowe.exe" -d "C:\Users\Dominik\Documents\Instalki i Programy testowe" Task: {2B63EC50-9E09-470C-835F-8215FA51FB38} - System32\Tasks\Driver Booster SkipUAC (Dominik) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe Task: {3559203F-4FF5-4002-B767-7F42C045838A} - System32\Tasks\DominikShrewsBrawledV2 => Rundll32.exe ReshuffleDistrustful.dll,main 7 1 Task: {3D82B524-FA2D-4295-9A4B-E9F407A68DD5} - System32\Tasks\{86FE08B2-4671-4003-B571-7D35EAE33214} => C:\Users\Dominik\Downloads\Samsung Tools Firmware J500FN\ADB_Fastboot\ADB_Fastboot\fastboot.exe Task: {48EBC457-C3D2-46EE-AB6A-D1D6628301FE} - System32\Tasks\{18A72EC6-A404-445D-9C63-EA61B7A0FD8A} => pcalua.exe -a "F:\Data DOMINIK.exe" -d F:\ Task: {522DE73D-A44A-4019-8ADC-0DB9685F7075} - System32\Tasks\Wipneha => C:\PROGRA~1\GROOVE~1\Jeujwov.bat Task: {563D3DC7-6DE2-4632-894A-83AF9BCE533E} - System32\Tasks\{EABB7CD0-5A1D-4811-8E77-372BC7B68C65} => pcalua.exe -a "F:\MOJE DODATKI (zajebiste)\Fallout 2\1. usunięcie limitu miast!!!\F49+.exe" -d "F:\MOJE DODATKI (zajebiste)\Fallout 2\1. usunięcie limitu miast!!!" Task: {5AA3CCFB-61A3-42C0-8976-4378CA1C0BD7} - System32\Tasks\{9E76A3F6-FE34-4C28-8304-DFD6D5C47B79} => C:\Program Files\Interplay\Fallout 2\Fallout2_High_Resolution_Patch_3.06.exe Task: {6C044518-6209-4D46-B376-8B19D5840E2F} - System32\Tasks\DominikLuminescesFleshersV2 => Rundll32.exe LebanonUnpredictably.dll,main 7 1 Task: {70506136-D0DF-4FA4-BF37-35280C660A08} - System32\Tasks\{0E1C1582-E2AA-4D86-8E7C-BFB01819F673} => C:\Users\Dominik\Desktop\Quake2World\bin\quake2world.exe Task: {78829783-7A11-4816-B948-8C5A2D388E7A} - System32\Tasks\Umowdos => C:\PROGRA~1\GROOVE~2\Kydacewp.bat Task: {88270116-D369-40B1-9D4C-2321D1BB5DBE} - System32\Tasks\{6B3771CE-A628-4C72-899C-63BC6ADF3916} => pcalua.exe -a D:\startuj.exe -d D:\ Task: {8BD4F5B6-45F7-4261-9E77-72E9387F128A} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files\Apple Software Update\SoftwareUpdate.exe Task: {92C96A26-EA33-4255-9B9A-8264DE6C7F88} - System32\Tasks\{B10B081F-D6DC-4DE4-9C03-474C6BA22A91} => pcalua.exe -a G:\DCIM\DCIM.exe -d G:\DCIM Task: {A6A5BD21-BA75-4187-9938-9BB4D0DDCDE5} - System32\Tasks\{F33FCEE7-8710-4E6C-B10B-966F2A5957FA} => pcalua.exe -a "C:\Users\Dominik\Documents\Instalki i Programy testowe\Instalki\Fallout saga\Dodatki\mody\f2\b-team.exe" -d "C:\Users\Dominik\Documents\Instalki i Programy testowe\Instalki\Fallout saga\Dodatki\mody\f2" Task: {B21F3AAC-2140-431C-85D7-DDF287368354} - System32\Tasks\{12EBB43C-0BB4-44A8-8827-0EC8A541EDE8} => pcalua.exe -a C:\Windows\system32\OggDSuninst.exe Task: {B492D402-80E1-4309-A355-E5E0A3EC430F} - System32\Tasks\{7EE14729-7D2F-4A35-ADA1-0E9A8A59BE35} => pcalua.exe -a "C:\Program Files\VS Revo Group\Revo Uninstaller\Revouninstaller.exe" -d "C:\Program Files\VS Revo Group\Revo Uninstaller" Task: {BF198F88-C9D8-4A70-A7B4-940C1B62CE01} - System32\Tasks\{8356E206-CDB8-4DC4-993F-D850CA598490} => pcalua.exe -a F:\Data\setup.exe -d F:\Data Task: {CB110C99-77A7-426E-A524-6FF576D6A1D0} - System32\Tasks\{47245D14-A511-45EE-BB30-01D84C59A27A} => pcalua.exe -a "C:\Users\Dominik\Downloads\Heroes of Might & Magic III Complete [1].exe" -d C:\Users\Dominik\Downloads Task: {CB29AD83-9F4D-4F87-9636-78F87D6852D8} - System32\Tasks\{D49E9D47-F913-49E2-A955-0D3AEE09C0DE} => C:\Program Files\Interplay\Fallout 2\Fallout2_High_Resolution_Patch_3.06.exe Task: {F51BC036-9DC4-4198-A9D9-5D851681AF2B} - System32\Tasks\{8AB64460-9D6A-4C41-B3CE-AD3E90C9CA15} => pcalua.exe -a C:\Users\Dominik\Documents\ePSXe.v1.6.0\ePSXe.v1.6.0`.exe -d C:\Users\Dominik\Documents\ePSXe.v1.6.0 Task: {F75B9DDE-2099-41E8-8A85-2147CB569CEC} - System32\Tasks\DominikHatmakerShirtV2 => Rundll32.exe TraverseEsc.dll,main 7 1 Task: {F7C363ED-C867-400F-851C-E1685CAF59D4} - System32\Tasks\DominikIngateFlashlampV2 => Rundll32.exe EnforceableWandered.dll,main 7 1 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia CustomCLSID: HKU\S-1-5-21-3047276897-3179028656-1573973646-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> C:\Users\Dominik\AppData\Local\Chromium\Application\45.0.2433.0\delegate_execute.exe (IMALI - N.I. MEDIA LTD) HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope - brak wartości U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 CFcatchme; \??\C:\Users\Dominik\AppData\Local\Temp\CFcatchme.sys [X] S3 cpuz138; \??\C:\Users\Dominik\AppData\Local\Temp\cpuz138\cpuz138_x32.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X] S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] S1 {25bfebaa-8898-4bf4-8b6f-6b7db87f40f7}Gw; system32\drivers\{25bfebaa-8898-4bf4-8b6f-6b7db87f40f7}Gw.sys [X] DeleteKey: HKCU\Software\Classes\NUECUUXTIQBZHBX DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PriceFountainUpdateVer DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010213_is1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rec_en_77_is1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zz.12193.ssp DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main AlternateDataStreams: C:\Windows\system32\Drivers\rndismpx.sys:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\Drivers\usb8023x.sys:$CmdTcID [64] C:\Program Files\is.dat C:\Program Files\uik.dat C:\ProgramData\msvei.exe C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Delta C:\Users\Dominik\AppData\Local\Chromium C:\Users\Dominik\AppData\Roaming\gameboxsetup.exe C:\Users\Dominik\AppData\Roaming\PriceFountainUpdateVer C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WMV9 VCM C:\Windows\system32\Drivers\a8c0c7783213ab2.sys CMD: dir /a C:\Users\Dominik\AppData\Local CMD: dir /a C:\Users\Dominik\AppData\LocalLow CMD: dir /a C:\Users\Dominik\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Podaj co mam robić z Google Chrome: usuwać z dysku i rejestru komponenty pod świeżą czystą instalację, czy ratować "resztki" widoczne w logu.

Sęk w tym, że analiza raportów wymaga po prostu określonej wiedzy o Windows i malware, dlatego pomoc prowadzą osoby w tym wykwalifikowane i dla nich raporty są po prostu oczywiste. Nikt nie objaśnia na co patrzeć w log, bo jest to już zupełnie inne zagadnienie (perspektywa analizy raportu), w każdym raporcie są niejednakowe wpisy zależne od konfiguracji danego systemu (pokazanie czegoś w jednym raporcie nie gwarantuje że to samo będzie w drugim), a skoro użytkownik samodzielnie nie wie w czym rzecz, podanie mu tej informacji nie przyniesie korzyści, a nie daj Boże sam się weźmie za naprawy skryptami FRST i uszkodzi coś w systemie. W skrócie objaśniając na czym polega tu problem: to nie jest wirus tylko adware, stosujące dość proste triki, tzn. hurtowa modyfikacja skrótów LNK przeglądarek (dostawienie argumentu do skrótu) oraz wszystkich możliwych preferencji przeglądarek. W zależności od sytuacji w raporcie mogą być dodatkowe elementy, np. usługi ochronne odnawiające modyfikacje. W raportach FRST różnych użytkowników są unikatowe zestawy, w rozumieniu niejednakowych elementów (inny plik uruchomiono, użytkownik podejmował próby czyszczenia i częściowo pozbył się obiektów, inne przeglądarki zainstalowane, inny stopień modyfikacji, etc.). Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IhPul; C:\Users\Asia\AppData\Roaming\TSv\TSvr.exe [291064 2016-03-24] (tsvr.com) R2 WdMan; C:\ProgramData\HWdMH\WdMan.exe [297984 2016-03-25] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} HKU\S-1-5-21-3163778885-1210311764-318980627-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN HKU\S-1-5-21-3163778885-1210311764-318980627-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN Edge HomeButtonPage: HKU\S-1-5-21-3163778885-1210311764-318980627-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\HWdMH C:\Users\Asia\AppData\Roaming\TSv EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

PriceFountain osadza się w Harmonogramie zadań pod losową nazwą. AdwCleaner tego nie wykrywa. Adware nabyłeś z portalu dobreprogramy, na dysku widać pliki "Asystenta pobierania" tego portalu: KLIK. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {9759856D-5008-4FE2-9837-111410A005FE} - System32\Tasks\mirdoNoisinessJanitressesV2 => Rundll32.exe GymsBateaux.dll,main 7 1 FF SelectedSearchEngine: webssearches RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\mirdo\AppData\Local\NoisinessJanitresses CMD: del /q C:\Users\mirdo\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition.

Temat wydzielam w osobny i przenoszę do właściwego działu, kompletnie inny system operacyjny (Windows 10). Na dokładną weryfikację sum kontrolnych komponentów potrzebuję więcej czasu. Od razu jednak powiem, że już widać dwa uszkodzone wystąpienia winload - nie mają producenta: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_10.0.10586.0_none_e7ac528b16fe1379\winload.exe [2015-10-30 08:18][2016-02-13 18:55] 0002896 ____A () F30A98EBB57F23FA6F19471B8CD2E72B C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_10.0.10586.0_none_dc713eb3a655c1c1\winload.exe [2015-10-30 08:18][2016-02-13 18:55] 0002896 ____A () F30A98EBB57F23FA6F19471B8CD2E72B Pliki trzeba będzie podmienić poprawnymi kopiami, ale na analizę i dostarczenie plików z mojego systemu potrzebuję więcej czasu.

Pośrednie znaki w raporcie FRST związane z usterką: HKLM\...\InprocServer32: [Default-wbemess] <==== UWAGA HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] <==== UWAGA HKLM\...26dfa299cadb\InprocServer32: [Authentication UI Logon UI] <==== UWAGA Naruszenie klasy Authentication UI Logon UI to jak najbardziej czarny ekran przy logowaniu, ta detekcja została zresztą dodana do FRST na podstawie mojego zgłoszenia związanego z tym co się działo tu: KLIK. Niemniej pozostałe rekordy z pliku klas mogą sugerować, że jest naruszona grubsza część rejestru i przetworzenie wybiórczo wymienianych wpisów nic nie zdziała. Na razie spróbuj je jednak ruszyć, czyli załaduj do FRST skrypt fixlist.txt o postaci: HKLM\...\InprocServer32: [Default-wbemess] <==== UWAGA HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] <==== UWAGA HKLM\...26dfa299cadb\InprocServer32: [Authentication UI Logon UI] <==== UWAGA Przedstaw wynikowy fixlog.txt. Wypowiedz się czy są jakieś zmiany w logowaniu.

W raportach częściowo widać omawiane naruszenia struktury Harmonogramu po cofnięciu aktualizacji - uszkodzone (puste) zadania Microsoftu, np. od Przywracania systemu. Usunięcie widzianych w raporcie zadań może być nie wystarczające, gdyż jest raportowana mniejsza ich ilość niż liczba komunikatów. Należy radykalnie ogołocić całą strukturę Harmonogramu, by się zaczął odbudowywać od zera. Przy okazji zadam mniejsze poprawki. Czyli: Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule" /f C:\Windows\Tasks\*.job Folder: C:\Windows\System32\Tasks HKLM-x32\...\Run: [NWEReboot] => [X] HKU\S-1-5-21-3100813732-1219306996-2951618635-1001\...\Policies\Explorer: [] R3 PSEXESVC; C:\Windows\PSEXESVC.exe [189792 2016-04-28] (Sysinternals) S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] IE trusted site: HKU\S-1-5-21-3100813732-1219306996-2951618635-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-3100813732-1219306996-2951618635-1001\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\TEMP C:\Users\Dell\AppData\Local\ACCCx2_9_0_465.zip.aamdownload C:\Users\Dell\AppData\Local\ACCCx2_9_0_465.zip.aamdownload.aamd EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. I sprawdź czy jest jakaś zmiana w Harmonogramie.

1. Otwórz Notatnik i wklej w nim: CMD: icacls C:\Windows\System32\LogFiles\WMI\RtBackup /grant SYSTEM:F /T Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw fixlog.txt. 2. Zrób nowy skan FRST z zaznaczonym polem Addition i tylko ten plik mi dostarcz. Nie pamiętasz co było w oknie, poza ogólnym tekstem "Naprawa w toku", tzn. czy na pasku postępu była jakaś konkretna ścieżka? Jak mówiłam, trudno dojść mi co to miało znaczyć, bo w wynikach Fixlog wszystko wygląda OK... Nie wiem o co chodzi. Ta faza "BELL..." to jest wczesna faza ładowania sprzętowego, więc to nie ma na pewno związku z prowadzonymi tu operacjami (tylko obszar Windows). Gdyby defekt się powtarzał, dalsza diagnostyka w dziale Hardware.

To definitywnie nie jest problem infekcji. Widoczny problem sprzętowy. W Dzienniku zdarzeń błędy złych bloków dysku: Dziennik System: ============= Error: (04/28/2016 08:49:30 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat przenoszę do działu Hardware. Dostarcz dane wymagane działem: KLIK. PS. Szczegół, w Chrome jest podejrzane rozszerzenie "Video AdBlock for Chrome", zamontowane na poziomie rejestru (= nie pochodzi z Chrome Web Store lecz zewnętrznego instalatora), na forum występowało w kontekście produkcji reklam (czyli efekt przeciwny do sugerowanego nazwą). Odinstaluj to doraźnie, usunięciem reinstalatorów z rejestru ewentualnie zajmę się potem, gdy się okaże że jest sens czyścić widziany tu system.

Wszystko dobrze wygląda, jeszcze małe korekty: 1. W Firefox odinstaluj w menedżerze dodatków stare niepodpisane cyfrowo rozszerzenia Iplex to ALLPlayer + Microsoft .NET Framework Assistant. 2. Doczyszczenie odpadków po odinstalowanych programach. Otwórz Notatnik i wklej: Task: {49AA92E6-495D-48D6-B51C-ADDDBA8C4DF8} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-13] (Adobe Systems Incorporated) RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\Program Files\Common Files\Adobe RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.0 RemoveDirectory: C:\Users\Henryka Sokołowska\.oracle_jre_usage Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

AdwCleaner dopatrzył się drobnostek. Załatwimy je skryptem FRST (nanoszę korektę na detekcje - tu należy usunąć w całości niedomyślne klucze a nie wartości modyfikować). Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl DeleteQuarantine: CMD: del /q C:\Users\lenovo\Downloads\35h9qo15.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Nie dodałeś raportów z FRST (FRST.txt, Addition.txt, Shortcut.txt). W tych logach wszystko będzie (m.in. procesy i precyzyjna lista zainstalowanych, wliczając wejścia ukryte).

Nie pamiętam dokładnie co tam się pokazuje, ale owszem to jest fix działający z automatu: tworzenie punktu Przywracania systemu > szybka korekta usterki > koniec. To nie są infekcje "sieciowe" czy "wirusy" zdolne przenosić się między różnymi komputerami tej samej sieci. Fix FRST wykonany. 1. Skasuj pobrany FRST i jego logi z folderu D:\Pobierane 2. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Reader: KLIK. To wszystko.

Na dostarczonych danych nie da się pracować. OTL to bardzo stary program i nie ma wielu detekcji które są w FRST. Jeśli jest problem z pobraniem i uruchomieniem FRST, wejdź w Tryb awaryjny z obsługą sieci.

To nie był wirus tylko typ adware/PUP ładowany ze sponsorowanych instalatorów, bądź portalowych "downloaderów". Zatwierdziłeś instalację (być może nie zdając sobie sprawy co). Więcej na temat metodologii instalacji: KLIK. MBAM (przede wszystkim) i AdwCleaner wyczyściły prawie wszystko. Na dysku widać tylko drobne odpadki. Czyli tylko akcje "kosmetyczne": 1. Zastosuj narzędzie Fix-it, by usunąć drobny błąd WMI: KLIK. 2. Drobny skrypt doczyszczający w/w, a przy okazji inne szczątkowe wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM-x32 -> DefaultScope - brak wartości Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S4 NvNetworkService; "C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe" [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {453894A0-F5B2-4BEA-B4E9-7E4246264D2D} - System32\Tasks\{65502C18-88D3-4298-93E8-1273309FC944} => pcalua.exe -a D:\Gry\Smite\HiRezGamesDiagAndSupport.exe -c uninstall=all Task: {56CE9D01-B413-4D97-8540-C84F3B68CA82} - System32\Tasks\{C5523E5C-2E3B-4CB4-ACC4-B70D4B1D649A} => pcalua.exe -a "C:\Program Files (x86)\MWSnap\uninstall.exe" Task: {BA49AC66-E9FB-4FDE-B7B6-FA2B1C5EC202} - System32\Tasks\{451E0197-B8FE-4D9E-B3D2-6C5D28AF4163} => D:\Pobierane\Deluxe Ski Jump\Deluxe Ski Jump\Dsj.exe Task: {E8E51847-1016-4AA0-B835-4E7453ED44C4} - System32\Tasks\{4536485E-D9FD-428E-A9E8-C30D9FBF1DB2} => D:\Gry\Kosz2001\Kosz2001.exe Task: {F378FC95-0208-4400-B793-59F2C7BEEAB0} - System32\Tasks\{23B4A29D-A9F1-410B-A947-8486BF921B1C} => pcalua.exe -a "D:\Pobierane\Deluxe Ski Jump.exe" -d D:\Pobierane DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DisableService: PLAY ONLINE. RunOuc RemoveDirectory: C:\AdwCleaner C:\ProgramData\*.* C:\ProgramData\Thunder Network C:\ProgramData\Windows Update C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Public\Thunder Network C:\Users\User\AppData\Local\{C0118625-763F-43E0-950B-510C80027737} C:\Windows\system32\Drivers\etc\hp.bak CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST niesą potrzebne.

Zasady działu jak powinien wyglądać post (opis problemu), jakie logi są tu wymagane i w jaki sposób prezentowane: KLIK. Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę. Dostarcz logi z FRST i GMER. I proszę nie wklejaj logów do posta, tylko dostarcz jako załączniki forum.

Kończymy: 1. Usuń drobny błąd WMI za pomocą narzędzia Fix-it: KLIK. 2. Zastosuj DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK.

Kończymy: 1. Zastosuj narzędzie DelFix. Hitman Pro zaś możesz odinstalować lub zostawić sobie do skanów na żądanie w przyszłości. 2. Wykonaj pełną aktualizację systemu z Windows Update. Obecnie stan fatalny - brak SP1, IE11 i reszty łat. Do instalacji będzie kilkaset łat. 3. Po ukończeniu aktualizacji przywróć Avast.

Wszystkie widoczne szkodniki usunięte. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Jeśli masz włączoną synchronizację, szkodliwe zmiany (w Twoim przypadku SafeFinder) są również nagrywane na serwerze Google. I zmiany te będą przywracane z serwera Google, nie pomoże czyszczenie Google Chrome lokalnie. Czyli chodzi mi o wyczyszczenie z serwera Google danych, a to się dzieje przy resecie synchronizacji. Widzę, że w linkowanym artykule zmieniono treść (tam poprzednio było o resetowaniu synchronizacji). Tu znalazłam nową postać artykułu: KLIK.

Skrypt pomyślnie wykonany. Niemniej czy wykonałeś akcje związane z Google Chrome? I dostarcz nowe skany zrobione już po operacjach w Google Chrome:

Skoro go nie widać, to może folder na dysku jest odpadkiem. Do powyższego skryptu FRST doklej jeszcze te dwie linie: RemoveDirectory: C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki RemoveDirectory: C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gomekmidlodglbbmalcneegieacbdmki

Jeszcze drobne korekty na odpadki po Avast: 1. W Google Chrome odinstaluj rozszerzenie Avast Online Security. 2. Otwórz Notatnik i wklej w nim: Task: {0BC0C6E7-54FC-4D09-A422-C6E1AB297E2D} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S4 sptd; System32\Drivers\sptd.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\avast! sandbox RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Ten chiński zestaw (typ adware/PUP) jest charakterystyczny dla uruchomienia sponsorowanego instalatora lub "downloadera". Wymieniane aplikacje raczej nie wleciały "samoistnie", tylko został uruchomiony jakiś plik, który w łańcuchu instalował te obiekty. W raportach zero oznak tych chińskich instalacji, co sugeruje, że system mógł działać w systemie piaskownicy COMODO i niepożądane zmiany zostały odkręcony po resecie. Czyli nie mam tu do sprzątania żadnych obiektów adware. Natomiast mogę doczyścić inne śmieci / puste wpisy (tylko zmiany muszą być dopuszczone przez COMODO) i wywalić niepotrzebne aplikacje. Aczkolwiek na razie się powstrzymuję, gdyż wspominasz o planowanym formacie, co niejako sugeruje bezsens tej roboty. Ustosunkuj się proszę czy mimo wszystko mam przejść do tych działań.

1. Jedyny wynik do zignorowania to "podejrzany plik", to jest fałszywy alarm na pliku FRST. Reszta wyników do usunięcia za pomocą Hitman. 2. Na wszelki wypadek jeszcze, przed instalacją Avast, zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, by potwierdzić czy nie zostały jakieś szczątki z poprzedniej instalacji Avast.

Plik fixlist usuwam z Twojego posta, jego zawartość jest w moim poście oraz w fixlog. Jeśli chodzi o to, że skrypt owocuje błędem FRST, to ponów próbę w Trybie awaryjnym Windows: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny. Tylko zastosuj skrypt z naniesioną poprawką na początek, który już się wykonał. Czyli nowy fixlist.txt do zapisania: Task: {CB89FE5D-81B9-4051-A7FD-DF229395DA6D} - System32\Tasks\lenovoMuttsDisincliningV2 => Rundll32.exe ScriptsPosting.dll,main 7 1 HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqebI93e0NwtMs8fFEisMHuEuhxqdaStf1zv9facjht4K78RiOemXSepAQQ4IMN6D4ddmr6jmmbudMVyDFnq4Sg1LML HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKU\S-1-5-21-2576432662-3230786984-552761320-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7y CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\Users\lenovo\AppData\Local\MuttsDisinclining C:\Users\lenovo\AppData\Roaming\*.* C:\Users\lenovo\AppData\Roaming\{0AA72162-031C-D2D3-7C26-757935C77ABA} C:\Users\lenovo\AppData\Roaming\Mozilla C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk C:\WINDOWS\SysWOW64\findit.xml RemoveDirectory: C:\Users\TEMP EmptyTemp:

WMI naprawione. A te drobnostki w AdwCleaner to nowa sprawa (ale błaha i zero wpływu na działanie systemu), w poprzednim skanie tych kluczy nie było. Po prostu usuń te wyniki za pomocą AdwCleaner. A na koniec to wiadomo jakie działania.