picasso

Temat przenoszę do innego działu. To nie jest problem infekcji. A z raportów nic kompletnie nie wynika. Nie podałeś o którą przeglądarkę chodzi, czy Google Chrome czy Firefox, ale zakładam że chodzi o domyślną przeglądarkę czyli Firefox. Raport FRST podaje, że są następujące składniki: FireFox: ======== FF ProfilePath: C:\Users\Uzytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\tedqy2o6.default FF Homepage: hxxps://www.google.pl/ FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_21_0_0_213.dll [2016-04-14] () FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-10] (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-10] (Google Inc.) FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN) FF Plugin: @videolan.org/vlc,version=2.1.5 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN) FF Plugin: @videolan.org/vlc,version=2.2.0 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN) FF Plugin: @videolan.org/vlc,version=2.2.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN) FF Plugin: @videolan.org/vlc,version=2.2.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN) FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2015-09-24] (Adobe Systems Inc.) FF Extension: WOT - C:\Users\Uzytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\tedqy2o6.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} [2015-12-10] FF Extension: Adblock Plus - C:\Users\Uzytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\tedqy2o6.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-02-24] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-05-07] [Brak podpisu cyfrowego] FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF FF Extension: Avast Online Security - C:\Program Files\AVAST Software\Avast\WebRep\FF [2015-12-10] Sugestie: - Adblock Plus: czy chodzi na zestawie domyślnych filtrów, czy może dodano więcej? Im więcej, tym bardziej ociężała przeglądarka. Przetestuj czy wymiana Adblock Plus na uBlock Origin (z domyślną konfiguracją filtrów i tak blokuje więcej niż Adblock Plus) coś pomoże. - W Dodatkach Firefox w sekcji wtyczek wyłącz wszystkie wtyczki z wyjątkiem Adobe Flash. Natomiast w sekcji rozszerzeń zdeaktywuj Microsoft .NET Framework Assistant, choć przypuszczam, że ten archaiczny dodatek i tak już został zablokowany przez FF. - Przetestuj czy wpływ ma Avast, zaczynając od testowej deaktywacji dodatku Avast Online Security w Firefox, a kończąc na próbnym wyłączeniu osłony sieciowej w Avast per se. - Przetestuj czy pomoże reset profilu: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Proces nie wpływa na zakładki i hasła, ale redukuje zainstalowane rozszerzenia. I nic więcej nie przychodzi mi do głowy...

To ta pierwsza pozycja Intel pod Magistralą PC. Prawoklik na dysk WDC i pobierz Właściwości. Ale na obrazku widać, że to kontroler SATA/AHCI i nie ma tradycyjnych kanałów, więc brak opcji które miałam na myśli i ta instrukcja już nieaktualna. Interesuje mnie czy poprzednio zadane punkty 1, 2 i 4 coś wniosły do sprawy i jak obecnie działa system.

Masz rozwinąć gałąź ACPI x64-based PC, następnie rozwijać kolejne gałęzie, aż znajdziesz kontroler na którym jest dysk...

Pokaż obrazek gdzie szukasz. Tak.

W tych raportach już nie widać ESET, więc poprzednie albo były zrobione przed deinstalacją, albo w owym czasie deinstalacja jednak nie została wykonana. Jeśli nadal występują problemy: 1. Sprawdź zachowanie systemu w stadium czystego rozruchu: KLIK. 2. W Dzienniku zdarzeń są błędy "Programu poprawy jakości obsługi klienta": Dziennik Aplikacja: ================== Error: (04/14/2016 11:45:42 AM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: ) Description: 80004005 Start > w polu szukania wklep Program poprawy jakości obsługi klienta > przestaw opcję na "Nie chcę uczestniczyć w programie". Start > w polu szukania wklep taskschd.msc > rozwiń gałąź Biblioteka > Windows > Customer Experience Improvement Program > z prawokliku powyłączaj wszystkie zadania. Po akcji zresetuj system. 3. Jest także poniższy błąd, ale nagrany tylko raz i pasuje do skanu GMER: Dziennik System: ============= Error: (04/13/2016 10:32:21 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. Na wszelki wypadek jednak sprawdź transfer dysku. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok ustaw "Urządzenia wg połączeń". Rozwiń gałąź urządzeń tak, by wyszukać gdzie jest dysk twardy. Z prawokliku na kanał na którym jest dysk pobierz Właściwości > Ustawienia zaawansowane > podaj co stoi jako "Bieżący tryb transferu". 4. Dodatkowo jeszcze widać to: Dziennik System: ============= Error: (04/14/2016 10:57:19 AM) (Source: Microsoft-Windows-WLAN-AutoConfig) (EventID: 10000) (User: ZARZĄDZANIE NT) Description: Uruchomienie modułu rozszerzalności sieci WLAN nie powiodło się. Ścieżka modułu: C:\Windows\system32\athExt.dll Kod błędu: 126 Błąd sugeruje reinstalację sterowników sieciowych.

Ten załącznik oxps usuwam, śmiecenie serwera plikami o niepoprawnym rozszerzeniu. W załącznikach dopuszczam tylko czysto tekstowe pliki oraz graficzne i nie bez powodu blokuję inne rozszerzenia. Zamiennie wstawiłam zrzut ekranu z zawartości pliku. W zestawie "Opcjonalnych" aktualizacji rozwiń Szczegóły i poczytaj czego one dotyczą, może któraś z nich jednak pasuje do sytuacji / problemów występujących. Interesuje mnie też czy próbowałeś wyłączyć GWX, a jeśli tak to czy są jakieś zmiany. Poza tym, aktualizacja do Windows 10 też może tu coś wnieść do sprawy, aktualizację można będzie odkręcić (w opcjach pojawi się "Powrót do poprzedniej kompilacji"). I ja chyba tu już więcej nie wymyślę, przyczyna może być w Windows, to niekoniecznie problem sprzętowy.

DelFix wykonał co należy. Skasuj z dysku plik raportu C:\delfix.txt. Chcę się upewnić, bo jakoś niejasno to jest przedstawione: kiedy konkretnie te sterowniki nVidia były instalowane? Jeszcze mi przyszło do głowy, by: - Wypróbować wbudowanego do Windows 8.1 narzędzia czyszczącego: Klawisz z flagą Windows + X > Panel sterowania > w polu szukania wklep Rozwiązywanie problemów > następnie w wynikach ponownie klik na wymienianą pozycję > w kolejnych wynikach w sekcji System i zabezpieczenia powinna się pojawić opcja Uruchom zadania konserwacji. - Czy wszystkie aktualizacje z Windows Update są zainstalowane? W nagłówku FRST nie ma adnotacji, że jest to system z "Update 1" conajmniej, choć ten odczyt FRST nie jest precyzyjny (nie wykrywa kolejnych Update). Ponadto, w procesach jest GWX (notyfikator aktualizacji do Windows 10) i mógłbyś go wyłączyć za pomocą GWX Control Panel. Swoją drogą, jednak rozważyłabym aktualizację systemu do Windows 10. Nie mam szczególnych typów, ale ESET jak najbardziej OK. Z listy darmowych programów też można spokojnie dobrać różne elementy zabezpieczeń: KLIK.

Wszystkie widoczne elementy zostały usunięte. Teraz jeszcze skanery dla pewności: Pierwszy skan wykonaj w HitmanPro i dostarcz wynikowy raport. On na pewno wykryje FRST jako taki, ale to fałszywy alarm.

Skorzystaj z DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Prawie wszystko usunięte. Poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres search.mpc.am, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń widniejący tam taki bardzo długi adres 2. Otwórz Notatnik i wklej w nim: Task: {85D58C27-6D1E-4772-84DB-0E19D1603E8B} - \{0B1350B9-C0CD-44E1-825F-DA6DCE7FE64B} -> Brak pliku Task: {CDDD06C2-953D-4004-BADF-438333BACC09} - \WindowsUpda2ta -> Brak pliku Task: {FF016734-2472-4D11-BB52-D218BA0C489C} - \{3DD9FE2C-E841-4B39-8E1D-D7DDC2E33E33} -> Brak pliku HKU\S-1-5-21-3992996756-2334413397-797887538-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Lelo\AppData\Local\Akamai\netsession_win.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl SearchScopes: HKLM -> DefaultScope {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Dostarczyłeś tylko jeden plik FRST, miały być trzy: FRST.txt, Addition.txt i Shortcut.txt. Uzupełnij dwa brakujące pliki.

Zasady działu: KLIK. Zakaz podpinania się, wydzialam w osobny temat. Zestaw logów nieodpowiedni, OTL jest stary i już tu nie akceptowany, usuwam jego logi. Dostarcz raporty z FRST: KLIK

O ile problem nadal aktualny: Babylon Search nie ma tu nic do rzeczy w kontekście spowolnienia systemu, w systemie tylko małe odpadki. Jedyne co ewentualnie może mieć tu znaczenie w tym kontekście, to kilka zadań w Harmonogramie pozostawionych przez różne adware. Notabene, miot Babylon to strasznie stara infekcja i te elementy grzały u Ciebie miejsce od dawna (kilka lat). Natomiast spowolnienie systemu mogą produkować usługi, gdyż w Dzienniku zdarzeń są następujące błędy: Dziennik System: ============= Error: (02/12/2016 06:15:43 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa NVIDIA Update Service Daemon zawiesiła się podczas uruchamiania. Error: (02/12/2016 06:10:54 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (02/12/2016 06:10:54 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Podobny problem z Usługą buforowania czcionek platformy: KLIK. Akcje relatywne do obu wyliczonych usług zostaną załączone w poniższym skrypcie FRST, tzn. wyłączenie aktualizatora nVidia oraz reset bufora czcionek. Do wykonania byłby następujące operacje: 1. Odinstaluj stare wersje: Adobe Flash Player 20 ActiveX, Adobe Reader 9.1 - Polish, Bing Bar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: nvUpdatusService CMD: sc stop FontCache3.0.0.0 C:\Windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat Task: {1C9BB918-F843-4FB1-8ABF-126543AC0FB2} - System32\Tasks\tcbackup => C:\Users\Alina\AppData\Local\tcbackup\mysp.exe [2015-10-23] (Visual Tools) Task: {1DFA65C0-25E6-41B7-8FC3-AA95A3829D31} - System32\Tasks\{06ABC8DD-049D-4A3B-B02B-0B06220B2452} => C:\Program Files (x86)\Ares\Ares.exe Task: {1EA09A47-0834-4977-9A68-9B7D2E56FC52} - System32\Tasks\{FD46C737-0B7C-4B3B-8480-92502F46699E} => pcalua.exe -a "C:\Users\Alina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DZOHJOJ4\aresregular217_installer_(shp.net.pl)[1].exe" -d C:\Users\Alina\Desktop Task: {2160A905-A080-4343-9272-47C87179C8DD} - System32\Tasks\{646D9178-7BB0-4858-A0CB-AB06DDF9327E} => C:\Program Files (x86)\Ares\Ares.exe Task: {2B8B6C37-76E4-4C93-8C25-0CE18706DB31} - System32\Tasks\{68D3DE6B-ABAF-4A6C-AB1C-BB1FABF8B468} => C:\Program Files (x86)\Ares\Ares.exe Task: {34512ED8-12C4-4EC0-A59E-BA0B96A20F76} - System32\Tasks\{F5CA7203-08CE-4AC2-AF0D-BEFE257C94A4} => C:\Program Files (x86)\Ares\Ares.exe Task: {7BAEBF94-7A01-4621-B803-1555F3805D47} - System32\Tasks\{0C864E79-D460-4DEA-B862-8675C465F4FE} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c "C:\Program Files (x86)\Ares\Ares.exe" Task: {8417865B-01E9-45BE-BCAC-17DC74BA0EF8} - System32\Tasks\{71D91980-D9D5-477B-8C6E-348DD8929728} => pcalua.exe -a C:\Users\Alina\Downloads\MegaCloud_Setup.exe -d C:\Users\Alina\Downloads Task: {861AF790-963B-492E-8A1D-6B3E49D4A982} - System32\Tasks\{5F34589C-809D-46EA-9FC6-C8260BC893D7} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup Task: {8C057C20-0756-42BD-8F7E-A1AF71BDB451} - System32\Tasks\{6F8842FB-986F-4125-B0B9-0A2A4637A355} => C:\Program Files (x86)\Ares\Ares.exe Task: {995F09F5-8C9A-468E-B276-FA32D459363D} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2015-07-27] (Reimage ltd.) <==== UWAGA Task: {A1FD1433-69A5-452C-BB64-241ECE1AF8FE} - System32\Tasks\EPUpdater => C:\Users\Alina\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () <==== UWAGA Task: {A5333455-5D4C-4E1D-8AC1-502B02FC9C64} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== UWAGA Task: {C60C7E37-A316-4C84-A12D-19CFA68C66D7} - System32\Tasks\Delta Toolbar Updater => C:\Users\Alina\AppData\Local\\delta\\delta\\2.0.1.1\Delta Toolbarupdt.exe Task: {F9EAAEC3-1034-4C3C-846E-347644E67ABF} - System32\Tasks\{7BBB1FB2-B12E-4E21-83F4-2692EF1026AF} => Chrome.exe hxxp://ui.skype.com/ui/0/5.10.0.116/pl/abandoninstall?source=lightinstaller&amp;page=tsInstall BHO-x32: Brak nazwy -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> Brak pliku Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKU\S-1-5-21-129265271-3525497852-1072832283-1002 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-13] CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Alina\AppData\Roaming\BabSolution\CR\Delta.crx [2013-10-05] S3 cpuz134; \??\C:\Users\Alina\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy C:\Program Files\Reimage Profile: C:\Users\Beata\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Alina\AppData\Local\tcbackup C:\Users\Alina\AppData\Roaming\BabSolution CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj, a następnie Usuń. Powstanie folder C:\AdwCleaner z logami. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt i raport z usuwania AdwCleaner.

O ile problem nadal aktualny: To infekcja TeslaCrypt 4.0, opis tu: KLIK. Niestety odkodowanie plików jest awykonalne. Jedyne co jest w moim zasięgu, to doczyszczenie elementów infekcji (pustych już wpisów startowych i masowo wyprodukowanych notatek "recover") oraz starych programów (luki w Adobe i Java to jedna z dróg tego rodzaju infekcji). Próbując usuwać infekcję doinstalowałeś lewy skaner SpyHunter. Pod kątem doczyszczania: 1. Deinstalacje: Jest tu niepoprawnie odinstalowany, lecz aktywny McAfee. Zastosuj firmowe narzędzie McAfee Consumer Product Removal Tool. Odinstaluj via Panel sterowania: Acrobat.com, Adobe AIR, Adobe Flash Player 20 ActiveX, Adobe Reader 9.5.5 MUI, DNA, Java 8 Update 51 (64-bit), Java 8 Update 51, Mozilla Firefox (3.6.13), Norton Online Backup, OpenOffice.org 3.3, SpyHunter 4. Przy deinstalacji Firefox potwierdź usuwanie danych użytkownika, resztę doczyści skrypt podany poniżej. W przypadku kłopotów z deinstalacją SpyHunter, skorzystaj z automatu SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [nwhskfqivdvd] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [hrgvpsxasune] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [gicnkrfusfkd] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [iasclukcnasv] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [hwdqlyhbdvda] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" Task: {09E3109C-F1B0-4D02-9351-6E95AB5B5001} - System32\Tasks\{63A9B410-4C7D-490F-8780-CEEE9F64EC5F} => pcalua.exe -a C:\Users\Dom\AppData\Local\Temp\jre-8u60-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {A36E5181-0A03-4B56-8E6A-DE33F27EE995} - System32\Tasks\{1CF58CB6-B48D-42AF-943C-0BC1881C5CE2} => pcalua.exe -a C:\Users\Dom\AppData\Local\Temp\jre-8u66-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {BEBC17E8-1614-413A-B27C-B3A4EBF453DB} - System32\Tasks\Zamknij PC => shutdown Task: {FBA30705-4B13-45FB-B9D7-D35EB31FB076} - System32\Tasks\{99658704-DEE9-4567-9BFE-487BDEE4698B} => pcalua.exe -a C:\Users\Konto\Desktop\Masse\PhSp_CS2_English.exe -d C:\Users\Konto\Desktop\Masse BHO: Brak nazwy -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adzworks DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcpltui_exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Norton Online Backup DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\{b26e72f8-0c20-6dca-b26e-e72f80c2cbe0} RemoveDirectory: C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A} RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\Symantec RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Glorylogic RemoveDirectory: C:\Users\Dom\AppData\LocalLow\7C029D65 RemoveDirectory: C:\Users\Dom\AppData\Local\Mozilla RemoveDirectory: C:\Users\Dom\AppData\Local\Microsoft\Windows\GameExplorer\{1B008B11-31F3-4E4F-A4A0-9108F6C35685} RemoveDirectory: C:\Users\Dom\AppData\Roaming\2006C96F RemoveDirectory: C:\Users\Dom\AppData\Roaming\7C029D65 RemoveDirectory: C:\Users\Dom\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Dom\AppData\Roaming\Real RemoveDirectory: C:\Users\Konto\AppData\Local\Microsoft\Windows\GameExplorer\{FF270D74-BFCB-4BAD-AF08-9B61CA9C85D0} RemoveDirectory: C:\Users\Konto\AppData\Local\Microsoft\Windows\GameExplorer\{9A5249AF-1466-4851-861D-5B95EA28DF65} RemoveDirectory: C:\Users\Konto\AppData\Local\Microsoft\Windows\GameExplorer\{7AF3C831-CBAC-4C9A-949E-5E11A6897A94} RemoveDirectory: C:\Users\Robert RemoveDirectory: C:\Users\Saber C:\Program Files (x86)\GUT5B1B.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bloodshed Dev-C++\License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\My Free Mahjong\Readme\License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\My Free Mahjong\Readme\Readme.lnk C:\Users\Dom\AppData\Local\{*} C:\Users\Konto\AppData\Roaming\Microsoft\Windows\SendTo\ISO Workshop.lnk C:\Windows\SysWOW64\*.tmp CMD: netsh advfirewall reset CMD: for /d %f in (C:\Users\Dom\AppData\Local\{*}) do rd /s /q "%f" CMD: attrib -r -h -s C:\Recovery+* /s CMD: del /q /s C:\Recovery+* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Fix może się długo wykonywać, ze względu na rekursywne usuwanie plików ransom z całego dysku C. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt - może być ogromny i gdyby się nie zmieścił, shostuj go na jakimś serwisie zewnętrznym i podaj link do pliku.

*decryptfile@aol należy do tej grupy infekcji: KLIK. Niektóre warianty "małpkowych" infekcji szyfrujących adresuje Kaspersky RakhniDecryptor. Lista podanych w artykule wariantów jest niepełna. Niestety nic mi nie wiadomo na temat zdolności odkodowania plików wariantu z "aol" w nazwie. W widzianych tu raportach nie ma żadnych oznak tej infekcji i nie ma co analizować. Albo więc serwer nie był źródłem i został zainfekowany przy udziale któregoś klienckiego podłączenia, albo kontekst raportu jest pobrany nie z tego konta które było motorem (wg FRST jest większa ilość niezaładowanych kont), albo infekcja została usunięta. Poza tym, raporty FRST słabo się nadają do weryfikacji środowisk domenowych / serwerowych, analizowany jest tylko dysk C systemu spod którego uruchomiono FRST. Nie jestem w stanie stwierdzić nic więcej ponadto co już powiedziałam.

Tak, jak już wspominasz, odszyfrowanie plików nie jest możliwe. Infekcja nie jest już aktywna - w starcie jest tylko martwy wpis "mlkji". System jest kiepsko zabezpieczony: archaiczny ESET z 2009 (!), niepełne aktualizacje (IE9) i stary niebezpieczny Adobe Flash dla Internet Explorer. Widziany tu ESET to ułuda zabezpieczeń, a aktualność baz danych to za mało. Moim zadaniem będzie tylko doczyszczenie systemu w stopniu podstawowym. Czyli: 1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 16 ActiveX, gdyż to właśnie exploity Adobe są jedną z przyczyn infekcji szyfrujących. Pozbądź się także Spybot - Search & Destroy, mało skuteczny dziś i niepolecany program. Czyszczenie infekcji pewnie wykonał MBAM, a nie Spybot. Na dalszą metę konieczne usunięcie ESET i zastąpienie czymś nowoczesnm z tej listy: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3811378809-90562482-1901480312-1000\...\Run: [DAEMON Tools Lite] => "E:\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-3811378809-90562482-1901480312-1000\...\Run: [mlkji] => "c:\users\f\appdata\local\mlkji.exe" /r CustomCLSID: HKU\S-1-5-21-3811378809-90562482-1901480312-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> E:\HAWX2\orbit\npuplaypc.dll => Brak pliku DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\F\AppData\Local\mlkji.gdb C:\Users\F\AppData\Local\mlkji.gss C:\1475950A61CA437AD33E7E9D655E4A0F.locky EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Jak już powiedziane, z odkodowaniem plików lipa. Wg raportów infekcja nie jest aktywna, brak wpisów startowych. Jedyne co widać, to plik graficzny notatki ransom na Pulpicie i przykładowe zaszyfrowane pliki: 2016-03-22 18:44 - 2016-03-22 18:44 - 05151830 _____ C:\Users\Martina\Desktop\_HELP_instructions.bmp 2016-03-22 18:39 - 2016-03-22 18:39 - 204572886 _____ C:\Users\Martina\Documents\10334FBA78E77EBFFD2E266062181764.locky 2016-03-22 18:37 - 2016-03-22 18:37 - 11836244 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFAF8529F02B490EFC.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 02877764 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF2E37E5973560E31F.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 02375164 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF57895CA50156141E.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 02191337 _____ C:\Users\Martina\Documents\10334FBA78E77EBF20E12FB849898A24.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 02025202 _____ C:\Users\Martina\Documents\10334FBA78E77EBF5F380A4D6D1548C6.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 01953256 _____ C:\Users\Martina\Documents\10334FBA78E77EBF2D212AC3520867E6.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 01436396 _____ C:\Users\Martina\Documents\10334FBA78E77EBF39E1510AC852ACD0.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 01314539 _____ C:\Users\Martina\Documents\10334FBA78E77EBF7E43BAD13586DE08.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 01314539 _____ C:\Users\Martina\Documents\10334FBA78E77EBF16BE64072E9FD4DF.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00919330 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF416C6BDA669CFD8A.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00841806 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF221AD6FE6A0CF899.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00837007 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF9F0F5A0945695C55.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00835649 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF58D93923370672B4.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00796877 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF864054CB9CA46A29.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00796877 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF2E104EA6B095D685.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00410040 _____ C:\Users\Martina\Documents\10334FBA78E77EBF411467CB3E322036.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00131647 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF2E2E5C63C6AB7F89.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00123377 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFC29B8D522028A384.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00118084 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF5CC1D6031E3A4377.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00111428 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF81163D56159FB4EA.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00110378 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFB30F517A6EC7F850.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00110250 _____ C:\Users\Martina\Desktop\10334FBA78E77EBF6318467FFD449D59.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00106186 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE7E5283DC2D1D838.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00105284 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF122D290C68798E9F.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00105167 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFA7075C72032FD3A9.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00095566 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFC2345E29EAAFE7E4.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00093316 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF04A24ED0306E783D.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00055837 _____ C:\Users\Martina\Documents\10334FBA78E77EBF445860C692BAE699.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00047585 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE42FE9FE656CD045.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00047581 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF71F771CEDD1C5C99.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00047428 _____ C:\Users\Martina\Desktop\10334FBA78E77EBF88A86ABFA6994CB1.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00042820 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE0ECD29E05913EDB.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00034628 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE29054327227CF75.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00018328 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF0EF89501E9B47454.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00014276 _____ C:\Users\Martina\Desktop\10334FBA78E77EBF1A9F602F20F14B69.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00006980 ____N C:\Users\Martina\Desktop\10334FBA78E77EBFCF7C031FDBBDEFAC.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00004897 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF26673082B9432E65.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Downloads\10334FBA78E77EBFA28E01BF42C35CC1.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBFAE32231470556CDE.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF9184049E0973112D.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF518287E249D42C61.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF3811129EC10F5E6C.locky 2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF281A1FB17E244B14.locky Natomiast jest czynny podrzędny śmieć adware/PUP, czyli sponsorowany Bing. Działania poboczne: 1. Odinstaluj stare niebezpieczne wersje (jedna z dróg infekcji szyfrujących dane): Adobe Flash Player 15 Plugin, Java 7 Update 71. 2. Doczyść śmieci / odpadki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3939384550-3673428181-2738249459-1001\...\Run: [bingSvc] => C:\Users\Martina\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-02-13] (© 2015 Microsoft Corporation) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3939384550-3673428181-2738249459-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2016-01-08] CustomCLSID: HKU\S-1-5-21-3939384550-3673428181-2738249459-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Martina\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {05DB5A67-8BF0-44F0-ABE1-FF2766C95C42} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {0A1EE147-ACDD-42BC-BF0C-15ACCA660305} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {204D9077-4F7E-49BC-A4CD-2B1BA4E9D341} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {269D968B-2606-4DA9-92FC-BAB5859400BD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {701A5C35-8855-47DC-B997-11D2BA563AB5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {78D2467B-C470-4917-8036-3177C7250E1F} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {90EAACA5-8328-4B35-A357-2E9506A3D05C} - System32\Tasks\Norton Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Security\Engine\22.5.2.15\SymErr.exe Task: {AC2B2060-FE42-4909-B20A-43DA088BA8BE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {B6C32F4C-573A-4355-A154-0E3877BFB356} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {B7D2481A-60E2-4CDE-9935-A9B515D7E48D} - System32\Tasks\Norton Security\Norton Error Processor => C:\Program Files (x86)\Norton Security\Engine\22.5.2.15\SymErr.exe Task: {D94FFD96-47C4-4BF4-A659-87F851072522} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {DA4F5BB5-3BD0-419B-9ECB-C3438768F8D3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E0804740-9C02-4539-AAB3-A9263BF88321} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {EF1873DE-0CD2-4AE3-A082-EB939EE4A802} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Security DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GG /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f C:\ProgramData\APN C:\ProgramData\Norton C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HD Tune C:\Users\Martina\AppData\Local\Microsoft\BingSvc C:\Users\Martina\AppData\Roaming\Microsoft\Word\Szablon%20CV2%20od%20praca.gratka.pl305062823361248895\Szablon%20CV2%20od%20praca.gratka.pl.doc.lnk C:\Users\Martina\Desktop\_HELP_instructions.bmp C:\Users\stefa_000\AppData\Roaming\Elex-tech C:\Windows\System32\Tasks\Norton Security CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome ze sponsorowanego Binga: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bing, o ile nadal będzie widoczny. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

O ile problem nadal aktualny, zgłoszenia generuje szkodliwe proxy. ManualProxies: 0hxxp://stop-block.org/wpad.dat?037165183c99d19f2e407b60bd143bb76387154 Do przeprowadzenia następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S1 {d0a750c7-0e2e-4426-8c72-dd49c6e52785}Gw; system32\drivers\{d0a750c7-0e2e-4426-8c72-dd49c6e52785}Gw.sys [X] HKLM\...\Run: [NeroFilterCheck] => C:\Windows\system32\NeroCheck.exe HKLM\...\Run: [blueStacks Agent] => C:\Program Files\BlueStacks\HD-Agent.exe HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-3215043942-3594844569-900473125-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [GG] => "C:\Users\Łukasz\AppData\Local\GG\Application\gghub.exe" GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin HKU\S-1-5-21-3215043942-3594844569-900473125-1000: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Łukasz\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.) IE trusted site: HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\mks.com.pl -> hxxps://www.mks.com.pl DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google C:\Program Files\Google C:\Program Files\SprgFiles C:\Users\Łukasz\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Łukasz\AppData\Local\Google C:\Users\Łukasz\AppData\Local\Microsoft\Windows\GameExplorer\{9FCDFB01-D519-42A6-8995-58346C41C906} C:\Users\Łukasz\AppData\Roaming\*.* C:\Users\Łukasz\AppData\Roaming\DarkEra C:\Users\Łukasz\AppData\Roaming\GG C:\Users\Łukasz\AppData\Roaming\WarThunder C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Public\Desktop\SprgFiles.lnk C:\Users\Public\Documents\dmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

O ile problem nadal aktualny: w systemie widać tylko szczątki niedoczyszczonych poprawnie infekcji (proxy na lokalnym koncie systemowym, adware w Firefox, odpadki przekonwertowanego przez adware Google Chrome, stary ZeroAccess) oraz trefny skaner SpyHunter. Działa też zbędny firmowy Logitech Desktop Messenger, do którego nie ma deinstalatora, oraz deinstalacja Spybot Search & Destroy pozostawiła po sobie immunizacje. Problem nie wynika z infekcji. Być może to właśnie aktywny SpyHunter jest powodem dla tych zachowań. Dodatkowo, plik Hosts zmodyfikowany przez Spybot Search & Destroy mieli ponad 15 tysięcy wpisów, co może skutkować zawieszeniami stron czy nawet systemu. Wszystkie elementy Spybot zostaną tu usunięte. Ale to jest normalne zachowanie. W systemie jest zainstalowany program Microsoft Security Essentials, który zastępuje Windows Defender i go automatycznie deaktywuje, by nie uruchamiał się. Usługi MSSE są aktywne, usługa Windows Defender jest na Ręcznym i tak ma być: R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [23808 2016-01-29] (Microsoft Corporation) R3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [374344 2016-01-29] (Microsoft Corporation) S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) 1. Odinstaluj SpyHunter posiłkując się skrótem deinstalacyjnym w Menu start: ShortcutWithArgument: C:\Users\WojSky\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\WojSky\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh W przypadku problemów z deinstalacją zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: Hosts: GroupPolicyScripts: Ograniczenia <======= UWAGA GroupPolicyScripts\User: Ograniczenia <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA BootExecute: autocheck autochk * sdnclean64.exe HKU\S-1-5-21-668491218-822267600-407935612-1000\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Logitech Desktop Messenger.lnk [2016-01-03] S0 raeehd; Brak ImagePath S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] S3 catchme; \??\C:\123qweasdzxc\catchme.sys [X] R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] Task: {1137BF65-4491-436A-81EE-160F7E69195E} - System32\Tasks\{85EFD14D-7D35-4F8E-932E-9A490580FC28} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.73.102.456/pl/go/help.faq.installer?LastError=1638 Task: {1D115671-925E-42A7-9753-33BA8178844F} - System32\Tasks\{75CB3AE0-2F45-4F48-8D63-1ECE261F23ED} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {49085C1F-5273-47E7-9ED9-F1DD8AEC3583} - System32\Tasks\{04CE6485-60A6-4627-B5CA-37A7B6D38557} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {4DBB6AE2-6E43-4916-8125-5BAE94416106} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {4E1064B2-D7E6-4FC8-82A2-694F076BD23C} - System32\Tasks\{63104515-0728-40BE-A447-4EE63A9BDC23} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {8085F24E-62FD-4399-B16B-3E16E727D667} - System32\Tasks\{10E8384A-EC0B-42BF-8931-A8C987A19FCC} => Firefox.exe hxxp://ui.skype.com/ui/0/7.3.73.101.456/pl/go/help.faq.installer?LastError=1638 Task: {8D2E9254-9B9F-4A43-9222-11B5A70B9619} - System32\Tasks\{2CDF1771-3307-474C-93E2-E6657B68216E} => Firefox.exe hxxp://ui.skype.com/ui/0/6.14.11.104/pl/go/help.faq.installer?LastError=1618 Task: {92B947CF-D4C6-416B-9650-1DC1B2D2A252} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {95BA15FB-2B29-45EF-9545-DC40E3D1DB1C} - System32\Tasks\{E0CFBF74-64CF-488A-B1BF-FA2BA2DFBE88} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.73.102.456/pl/go/help.faq.installer?LastError=1638 Task: {AD47A1B2-9EC7-4FD4-B8D7-EFCA02CA55C8} - System32\Tasks\{D4C316AA-7B4F-43D5-B081-26AC300478B3} => Firefox.exe hxxp://ui.skype.com/ui/0/7.5.73.102.456/pl/go/help.faq.installer?LastError=1638 Task: {B52E096B-A869-4B17-B5BA-E960E369498D} - System32\Tasks\{13DCB20C-2BF4-40F2-A59A-FA726B51EA2D} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {D5E2BE79-3D69-4028-A4A0-10472552B5AA} - System32\Tasks\{1653DDBC-D855-4C05-825C-5C0AB3E5061E} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {E47FA7D1-BFBB-4D1B-B654-AB73D880EB72} - System32\Tasks\{7C0B9044-4B1F-4F29-8FD3-2D06B43B7ED3} => Firefox.exe hxxp://ui.skype.com/ui/0/7.6.73.105.456/pl/go/help.faq.installer?LastError=1638 Task: {ED5C0F13-3EDA-429B-BCBB-776CF3380DA5} - System32\Tasks\{678AD71E-70C3-44A2-A6B0-A8FA83A79CFC} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.73.102.456/pl/go/help.faq.installer?LastError=1638 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-668491218-822267600-407935612-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-668491218-822267600-407935612-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin-x32: @ganymede/GanymedeNetPlugin,version=1.0 -> C:\Program Files (x86)\Ganymede\Plugins\npganymedenet.dll [Brak pliku] FF HKLM-x32\...\Firefox\Extensions: [isend@www.bluesoleil.com] - C:\Program Files (x86)\IVT Corporation\BlueSoleil\TransSend\FireFox\isend@www.bluesoleil.com FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\8256DB774731DEF9953D070822026F658256 [2015-12-07] <==== UWAGA SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {15707CDB-5CDE-7038-71B0-42DCD830F6AA} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset CMD: regsvr32 /u /s "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CWK.lnk C:\Users\WojSky\AppData\Local\pcc.exe C:\Users\WojSky\AppData\Local\Temp-log.txt C:\Users\WojSky\AppData\Roaming\*.* C:\Users\WojSky\AppData\Roaming\Microsoft\Done.dat C:\Users\WojSky\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Chromium.lnk RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Users\WojSky\AppData\Local\Google\Chrome RemoveDirectory: C:\Users\WojSky\AppData\Local\{3bf97711-3057-2d87-061d-8c0359cd1e13} RemoveDirectory: C:\Windows\Installer\{3bf97711-3057-2d87-061d-8c0359cd1e13} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\WojSky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Opisz czy jest poprawa.

O ile problem nadal aktualny: 1. W kwestii martwego wejścia na liście instalacyjnej: RollerCoaster Tycoon 2 (HKLM-x32\...\{72DF62BD-FF36-424E-AA5F-D89BAFF2C249}) (Version: - ) Uruchom Zoek. W oknie wklej: RollerCoaster Tycoon 2;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 2. A jako operacja poboczna doczyszczanie drobnych śmieci. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {01D2FA17-6977-470F-A97D-43C6435CB4ED} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {04561ABD-3529-44D9-A4E5-DD6A717D9440} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {0D037669-6C43-405F-8A9F-F744780D48BF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {1C1A57C6-AC73-470E-8062-88B466F7D582} - System32\Tasks\Uninstaller_SkipUac_Nemezis => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {1DC9C367-10A3-482A-A5B6-0632C347D396} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {33AD082D-F16B-4288-BFD5-12B74CD478C6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {566A6739-95F3-43AC-B4AF-303DD7123108} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {67E91121-9868-4AF9-9C0C-4C524FB45017} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {7BED74F1-847D-4BC3-8959-E66990B2C260} - System32\Tasks\{5E654B3F-934A-4620-91AE-B552488EE795} => pcalua.exe -a "C:\Program Files (x86)\Unreal Antologia\Unreal Anthology.exe" -d "C:\Program Files (x86)\Unreal Antologia" Task: {91AEE754-05E3-46CB-BDFA-993E34F4890F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {990FD7F4-99C0-47EA-B15D-BAC91E230CC4} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {A41F0258-5686-4092-918E-6EEC59E4211B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {D21B3A22-1EA7-4054-9AAA-7CFC626BF212} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {DCC0FC10-2E6C-4635-91CE-BA911CDD0EFE} - System32\Tasks\{D842DBE4-C692-41FE-8ED5-70FBBB9461B7} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.5.0.102&LastError=12002 Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Nemezis.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.istartsurf.com/?type=hp&ts=1432587496&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=obw&uid=SAMSUNGXHD080HJ_S08EJ1UP106059","hxxp://www.istartsurf.com/?type=hppp&ts=1432587530&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=obw&uid=SAMSUNGXHD080HJ_S08EJ1UP106059" CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-02-03] FF user.js: detected! => C:\Users\Nemezis\AppData\Roaming\Mozilla\Firefox\Profiles\96iqxuez.default\user.js [2015-07-13] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF SearchScopes: HKU\S-1-5-21-3273934130-1980556977-1330787289-1002 -> DefaultScope {6DF30A0D-0219-41B1-9C33-C53A9A697DD9} URL = SearchScopes: HKU\S-1-5-21-3273934130-1980556977-1330787289-1002 -> {6DF30A0D-0219-41B1-9C33-C53A9A697DD9} URL = 2016-02-06 16:09 - 2016-02-06 16:09 - 00000000 _____ C:\end EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Wszystko poprawnie zostało przetworzone. Na wszelki wypadek jeszcze: 1. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Upłynęło sporo czasu, więc przydałyby się nowe raporty FRST (FRST.txt + Addition.txt), obrazujące czy nie nastąpiły w międzyczasie jakieś nowe niekorzystne zmiany.

Fix FRST pomyślnie przetworzony. Skasuj przez SHIFT+DEL (omija Kosz) folder C:\FRST oraz FRST i jego logi z C:\nowe logi. Owszem, wypunktowana dysfunkcja usług PeerNetworking może powodować "zacięcia", ale nie wszystkie opisywane objawy mi do tego pasują... Gdyby pojawiły się kolejne problemy, dostarczysz dane wymagane działem Hardware: KLIK.

O ile problem nadal aktualny: 1. Format systemu był tu niestety zbędny i niedopasowany do typu infekcji. Pierwsze raporty wskazywały na infekcję routera, zakreślony adres jest holenderski: Tcpip\Parameters: [DhcpNameServer] 5.39.222.159 8.8.8.8 Tcpip\..\Interfaces\{03776fe9-7e0f-416d-983d-cd04d90c8804}: [DhcpNameServer] 5.39.222.159 8.8.8.8 W nowszych raportach brak widocznych bezpośrednich oznak infekcji, ale skoro problem nadal występuje, winę ponosi router. Podaj jaki model posiadasz. 2. Przy okazji, są też zastanawiające działania które podjąłeś po formacie. Świeży system, a tu archaiczne kwiatki: Mozilla Firefox (3.5.1) (HKLM-x32\...\Mozilla Firefox (3.5.1)) (Version: 3.5.1 (pl) - Mozilla) FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\npnul32.dll [2009-07-16] (mozilla.org) FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-branding.js [2009-07-15] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-l10n.js [2009-07-15] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox.js [2009-07-15] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\reporter.js [2009-07-15] Skąd tak potwornie stary (i niebezpieczny!) Firefox? Co to za akcja po formacie, by go instalować równoległe z najnowszym Firefox? W pierwszych raportach go nie było, więc został zainstalowany po formacie. Zestaw plików wskazuje, że to jakaś firmowa brandowana edycja.

Temat przenoszę do działu Windows, na dalszą metę nie wykluczony dział Hardware. To nie jest problem infekcji. A z raportów FRST mało co wynika. Jedyne co mi się rzuca w oczy, to ten zestaw błędów relatywnych do uszkodzeń bazy certyfikatów PeerNetworking: Dziennik System: ============= Error: (04/14/2016 12:35:50 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (04/14/2016 12:35:50 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (04/14/2016 12:35:50 AM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Może być tu też problem z dyskiem twardym / strukturą plików, gdyż uruchamiany był checkdisk: 2016-04-10 10:13 - 2016-04-10 10:13 - 00000000 __SHD C:\found.000 Z mojej strony zadaję reset certyfikatów PeerNetworking poprzez usunięcie plików idstore.*, przy okazji także usunięcie szczątkowych wpisów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* HKLM-x32\...\Run: [AvgUi] => "C:\Program Files (x86)\AVG\Framework\Common\avguirnx.exe" /lps=fmw ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S3 NSNDIS5; \??\C:\Windows\system32\NSNDIS5.SYS [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Task: {5754D218-299E-4442-B910-409905BB7F3E} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-04-10] (AVAST Software) Task: {6D062BB9-CB8D-4DD2-A03E-52767533C153} - System32\Tasks\{C5A1A420-EFB8-4531-98C7-677BAEEF20F3} => pcalua.exe -a E:\Downloads\VirtualBox-4.3.28-100309-Win.exe -d E:\Downloads Task: {73CE454F-7744-4922-BB76-74BB4D18C318} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {F4E250EE-BCAF-420A-87A4-6B9738C2EED6} - System32\Tasks\{D0473894-B4E9-4F5F-9585-8C7171A022C2} => pcalua.exe -a C:\Users\SEBAST~1\AppData\Local\Temp\jre-8u65-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AvgAMPS DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVGIDSAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avgsvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avgwd DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AvgUi DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\Users\Sebastian\AppData\Local\Avg RemoveDirectory: C:\Users\Sebastian\AppData\Roaming\AVG C:\Users\Sebastian\AppData\Local\{613219C3-8F37-4A4E-BB65-ECA096E8268F} C:\Users\Sebastian\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Sebastian\AppData\Local\ACCCx2_9_1_474.zip.aamdownload C:\Users\Sebastian\AppData\Local\ACCCx2_9_1_474.zip.aamdownload.aamd CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Wypowiedz się też czy są jakieś zmiany po resecie bazy PeerNetworking, choć mam szczere wątpliwości czy będą tu widoczne rezultaty.

A kysz, link podmieniony na nieaktywny. To jedna z wielu stron falsyfikatów, jakoby z instrukcjami usuwania malware, a celem zasadniczym jest wmanipulowanie w pobranie linkowanego tam lewego usuwacza SpyHunter. Ani w treść (jeszcze na dodatek z translatora), ani w narzędzie nie można pokładać żadnej wiary. Niestety tego typu fałszywki to plaga Google, "opisy" te są bardzo wysoko pozycjonowane i pierwsze na co trafia delikwent to właśnie na te szkodliwe instrukcje. Co drugi log na forum pokazuje zainstalowany SpyHunter, który rzecz jasna w rozwiązaniu problemów nie pomógł... 1. Czyszczenie systemu zostało tu ukończone. By sfinalizować zadanie, jeszcze zastotuj DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK. 2. Problem z wydajnością dysku i grami: nic tu nie wskazuje, by była to pochodna infekcji, podstawowe czynności redukcji procesów nie przyniosły wyraźnej poprawy, w raportach FRST żadnych tropów. - Na wszelki wypadek sprawdź czy jakieś zmiany nastąpią po deinstalacji NVIDIA GeForce Experience 2.4.5.57 (aktualizator wprowadzający zbędne procesy), a jeśli brak zmian: - Załóż temat w dziale Hardware, podając dane wymagane działem: KLIK. Podaj tam też link do tego tematu, by było wiadome co wykonywano już. Wątkiem sprzętowym zajmie się kto inny, ja nie jestem specjalistą tej tematyki.