Chartum91 Opublikowano 7 Października 2017 Zgłoś Udostępnij Opublikowano 7 Października 2017 (edytowane) Jakiś czas temu pobierałem różne rzeczy i prawdopodobnie wtedy właśnie zainstalował mi się jakiś niechciany program a właściwie dwa: SecureDisk oraz WebService. Ich lokalizacja jest następująca: C/Disk/ Próbowałem: - skanować system za pomocą malwarebytes, - odinstalować samemu te programy, - usuwać je z Panelu Sterowania. Nic nie pomogło, przepraszam jeżeli coś się nie zgadza jednakże nie znam się na tym. W menedżerze zadań proces Securedisk.exe zajmuje 50% więc coś się nie zgadza. Załączam logi poniżej. Addition.txt FRST.txt Shortcut.txt Edytowane 7 Października 2017 przez Miszel03 Poprawiam czytelność posta. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 7 Października 2017 Zgłoś Udostępnij Opublikowano 7 Października 2017 System jest kolosalnie zainfekowany. Dramat, więc nie będę tego opisywał zbytnio bo mi palce odpadną od pisania. DNS ustawione z poziomu Windows również są zainfekowane (KLIK / KLIK). Ze względów bezpieczeństwa nie wykonuj żadnych operacji związanych z płatnością online oraz nie loguj się do ważnych serwisów na tym komputerze. Na końcu dezynfekcji będzie wymagana prewencyjna zmiana haseł wszystkich serwisach. Jeśli nie będziesz potrafił wykonać jakiejś czynności to STOP. Nie wykonuj dalszych kroków, a zgłoś się po pomoc. 1. Zaczniemy od deinstalacji. Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj: Online Application. Przez Panel Sterowania odinstaluj adware / PUP: FastDataX 1.20, DAEMON Tools Toolbar, RIVpemjyECl8 Updater version 1.2.0.4, suUqZBp2wcSI Updater version 1.2.0.4, YoutubeAdBlock. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [sERVICE] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [WifiAudio] => C:\Users\wiczi\AppData\Local\Temp\Rar$EXa0.900\wifiaudio_windows.exe HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [msiql] => C:\Users\wiczi\AppData\Local\Temp\00007476\msiql.exe /RUNNING HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [jorrj0dirj4] => "C:\Users\wiczi\AppData\Roaming\mgdc00zcfgp\2mslswu0add.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [AC4B63GB8D7ZXQY] => C:\Program Files\039D13FSE0\039D13FSE.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [ans55we5zxf] => "C:\Users\wiczi\AppData\Roaming\ctsli5py401\lrkyvvmkhj1.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [k2hbjtkux4n] => "C:\Users\wiczi\AppData\Roaming\3lx1isnuf5g\0vjx5xcdz01.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [35s1qqalrvf] => "C:\Users\wiczi\AppData\Roaming\sd4uyjj3qwd\bfmlqaqsivp.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [3LDCG2UWTIBBNNW] => C:\Program Files\J33CWQTO0X\J33CWQTO0.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [b9XA3KPASSP0IEP] => C:\Program Files\AYMZ4WRTNO\AYMZ4WRTN.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [j3rpfkwdop4] => "C:\Users\wiczi\AppData\Roaming\aa3xp1m3evr\qxgmkgztgij.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [R4TBOLE2FWLHC2W] => C:\Program Files\K7KJNWYTE4\K7KJNWYTE.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [ty3nb2wyauq] => "C:\Users\wiczi\AppData\Roaming\biy1bidt4l0\tsxuupndsze.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [t14dhmjgejq] => "C:\Users\wiczi\AppData\Roaming\2abg233kem3\um1ag4wwd4y.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [ouwa0r4lz30] => "C:\Users\wiczi\AppData\Roaming\iagqaaqvol0\n4ekvd3z3qr.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [PEHBPKUX8X99RZ3] => C:\Program Files\ZEVYAVKYSI\ZEVYAVKYS.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [46NFVDANM7YK9DW] => C:\Program Files\PYKWL8MGUZ\PYKWL8MGU.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [rfra4ehjfvj] => "C:\Users\wiczi\AppData\Roaming\jxdezycqule\mh00zvmvibr.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [brdvwcdk4ao] => "C:\Users\wiczi\AppData\Roaming\0jqi0zgv0ji\s2jft1xc53b.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [nj44jggelhu] => "C:\Users\wiczi\AppData\Roaming\gbs2qwnbw14\glgusc5w4kb.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [RGIM0EA3JE1WX9Q] => C:\Program Files\17B7WZZR38\17B7WZZR3.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [JQIRXKQRID2CHP5] => C:\Program Files\MDNQT2KV8R\MDNQT2KV8.exe [668672 2017-10-07] (59) C:\Program Files\039D13FSE0 C:\Program Files\J33CWQTO0X C:\Program Files\AYMZ4WRTNO C:\Program Files\AYMZ4WRTNO C:\Program Files\K7KJNWYTE4 C:\Program Files\ZEVYAVKYSI C:\Program Files\PYKWL8MGUZ C:\Program Files\17B7WZZR38 C:\Program Files\MDNQT2KV8R C:\Users\wiczi\AppData\Roaming\jxdezycqule C:\Users\wiczi\AppData\Roaming\0jqi0zgv0ji C:\Users\wiczi\AppData\Roaming\gbs2qwnbw14 C:\Users\wiczi\AppData\Roaming\aa3xp1m3evr C:\Users\wiczi\AppData\Roaming\biy1bidt4l0 C:\Users\wiczi\AppData\Roaming\2abg233kem3 C:\Users\wiczi\AppData\Roaming\iagqaaqvol0 C:\Users\wiczi\AppData\Roaming\mgdc00zcfgp C:\Users\wiczi\AppData\Roaming\ctsli5py401 C:\Users\wiczi\AppData\Roaming\3lx1isnuf5g C:\Users\wiczi\AppData\Roaming\sd4uyjj3qwd ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\Users\wiczi\AppData\Roaming\tmp546.dat -> Brak pliku HKU\S-1-5-21-319334698-2115631649-3299897735-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\ProgramData\DreamScreen\DreamScreen.scr [5313536 2017-10-07] (TODO: ) C:\ProgramData\DreamScreen GroupPolicy: Ograniczenia - Chrome Tcpip\Parameters: [NameServer] 82.163.143.136 82.163.142.138 Tcpip\..\Interfaces\{669E9543-2778-4A2E-BE7D-4CC3C7525398}: [NameServer] 82.163.142.8,95.211.158.136 HKU\S-1-5-21-319334698-2115631649-3299897735-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUhXjFR4Ifimk_SXDDbLQTfSW8fFDa20g6OXN_f9UZwckQTBRyJxl-_hnOjxCywjkR0FJafhNXysuyoQalkYEbYjAub8Q,,&q={searchTerms} HKU\S-1-5-21-319334698-2115631649-3299897735-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUt99UoLAxdD8NuPXs55NQpueu9KN1m6ZTGiXWq1p6eLKO43l_L4ei16X-VY4IA2E9pyieNyNJCI9H0ZhBxMb9gbEMANw,, SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUhXjFR4Ifimk_SXDDbLQTfSW8fFDa20g6OXN_f9UZwckQTBRyJxl-_hnOjxCywjkR0FJafhNXysuyoQalkYEbYjAub8Q,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-319334698-2115631649-3299897735-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUhXjFR4Ifimk_SXDDbLQTfSW8fFDa20g6OXN_f9UZwckQTBRyJxl-_hnOjxCywjkR0FJafhNXysuyoQalkYEbYjAub8Q,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-319334698-2115631649-3299897735-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUhXjFR4Ifimk_SXDDbLQTfSW8fFDa20g6OXN_f9UZwckQTBRyJxl-_hnOjxCywjkR0FJafhNXysuyoQalkYEbYjAub8Q,,&q={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [clgckgfbhciacomhlchmgdnplmdiadbj] - hxxps://clients2.google.com/service/update2/crx R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-08-17] () [brak podpisu cyfrowego] C:\ProgramData\Logic Cramble S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] 2017-09-18 09:28 - 2017-09-18 09:28 - 007327744 _____ () C:\Users\wiczi\AppData\Local\agent.dat 2017-09-18 09:28 - 2017-09-18 09:28 - 000070800 _____ () C:\Users\wiczi\AppData\Local\Config.xml 2017-09-18 09:28 - 2017-09-18 09:28 - 001895382 _____ () C:\Users\wiczi\AppData\Local\Faxjob.bin 2017-09-18 09:28 - 2017-09-18 09:28 - 002554368 _____ (TODO: ) C:\Users\wiczi\AppData\Local\GreenWarm.exe 2017-09-18 09:28 - 2017-09-18 09:28 - 001899389 _____ () C:\Users\wiczi\AppData\Local\GreenWarm.tst 2017-09-18 09:28 - 2017-09-18 09:28 - 000016464 _____ () C:\Users\wiczi\AppData\Local\InstallationConfiguration.xml 2017-09-18 09:28 - 2017-09-18 09:28 - 000140800 _____ () C:\Users\wiczi\AppData\Local\installer.dat 2017-09-18 09:28 - 2017-09-18 09:28 - 000018432 _____ () C:\Users\wiczi\AppData\Local\Main.dat 2017-09-18 09:28 - 2017-09-18 09:28 - 000005568 _____ () C:\Users\wiczi\AppData\Local\md.xml 2017-09-18 09:28 - 2017-09-18 09:28 - 000126464 _____ () C:\Users\wiczi\AppData\Local\noah.dat 2017-09-18 09:28 - 2017-09-18 09:28 - 002554368 _____ (TODO: ) C:\Users\wiczi\AppData\Local\TinRanfix.exe 2017-09-18 09:28 - 2017-09-18 09:28 - 000278508 _____ () C:\Users\wiczi\AppData\Local\TinRanfix.tst 2017-09-18 09:28 - 2017-09-18 09:28 - 000032038 _____ () C:\Users\wiczi\AppData\Local\uninstall_temp.ico Task: {4DABA4CF-48BC-47E8-9B36-398229333BCA} - System32\Tasks\{7D0F0A47-0E78-7F0B-0F11-7F0F09791179} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACAAOwAgADsAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMA (dane wartości zawierają 9540 znaków więcej). Task: {111E2617-97A6-4DFE-91D7-68B15355CE0C} - System32\Tasks\LaCieS => C:\Disk\WebService.exe [2017-09-18] (TODO: ) C:\Disk\WebService.exe C:\Disk\securedisk.exe Task: {07733C2B-B09A-48A7-B06B-2D1C0408E614} - System32\Tasks\Opera scheduled Autoupdate 1506784223 => C:\Users\wiczi\AppData\Local\Programs\Opera\launcher.exe Task: {38A2A7E0-A278-433F-8AA0-476C1BCF30A0} - System32\Tasks\jJKowXmxzIFxIuj => rundll32 "C:\Program Files (x86)\TQoarIXzU\CfZgRr.dll",#1 Task: {38EF46DD-79BA-46A2-B7A6-02F0F8027642} - System32\Tasks\jJKowXmxzIFxIuj2 => rundll32 "C:\Program Files (x86)\TQoarIXzU\CfZgRr.dll",#1 Task: {E8746C37-5B0C-4B7B-9EC4-12551D03784D} - System32\Tasks\LSjUFtTofwjkxN => rundll32 "C:\Program Files (x86)\ICBaloCIDxXU2\NCgfMZIgPRUri.dll",#1 Task: C:\Windows\Tasks\jJKowXmxzIFxIuj.job => C:\Program Files (x86)\TQoarIXzU\CfZgRr.dll C:\Program Files (x86)\TQoarIXzU Task: {85D7E03C-E193-4D63-B9A1-8C25E517BA90} - System32\Tasks\Beeper => C:\Windows\system32\rundll32.exe "C:\Program Files\Beeper\Beeper.dll",njxVgIafTBR C:\Program Files\Beeper Task: {5EE02D9A-E4A4-4C40-BF68-B96C914D13CD} - System32\Tasks\{63AD27C3-C35E-E0B0-63EC-813B01F4AC0F} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\ab4f31a8\9276406a.dll" Task: {D07F2050-C90D-4DD0-AA1F-53F005E6B4C3} - System32\Tasks\{E9AB34FF-5E00-8354-C440-05D4A8CF09DE} => C:\ProgramData\{071E9CDE-B0B5-2B75-8F6A-A7A75FE71BC0}\1B5BA9BC-ACF0-1E17-E3EB-0667DC944503.exe [2017-10-04] () C:\PROGRA~3\ab4f31a8 C:\ProgramData\{071E9CDE-B0B5-2B75-8F6A-A7A75FE71BC0} Task: {E8746C37-5B0C-4B7B-9EC4-12551D03784D} - System32\Tasks\LSjUFtTofwjkxN => rundll32 "C:\Program Files (x86)\ICBaloCIDxXU2\NCgfMZIgPRUri.dll",#1 C:\Program Files (x86)\ICBaloCIDxXU2 ShortcutWithArgument: C:\Users\wiczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://pop.yeawindows.com/ ShortcutWithArgument: C:\Users\wiczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://pop.yeawindows.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://pop.yeawindows.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://pop.yeawindows.com/ HKU\S-1-5-21-319334698-2115631649-3299897735-1000\Software\Classes\regfile: regedit.exe "%1" C:\Users\Public\Desktop\EloBuddy.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\wiczi\AppData\Local\Mozilla C:\Users\wiczi\AppData\Roaming\Mozilla C:\Users\wiczi\AppData\Roaming\Profiles CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\wiczi\AppData\Local CMD: dir /a C:\Users\wiczi\AppData\LocalLow CMD: dir /a C:\Users\wiczi\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Wize, Clean My Chrome oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Chartum91 Opublikowano 7 Października 2017 Autor Zgłoś Udostępnij Opublikowano 7 Października 2017 Wszystko wykonane tak jak w instrukcji. nie ma juz żadnych zbędnych procesów Addition.txt AdwCleanerS0.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 7 Października 2017 Zgłoś Udostępnij Opublikowano 7 Października 2017 Cieszę się, że wszystko pomyślnie wykonane. Z Twojego punktu widzenia to było mało (bo wszystko zautomatyzowałem do skryptu naprawczego, który napisałem), ale z mojego punktu widzenia to było usuwanie masy infekcji. Przy okazji wyczyściłem Ci ok. 50 GB plików tymczasowych, więc na pewno zwolniło Ci się sporo miejsca na dysku - na końcu "zmuszę" Cię abyś zainstalował porządne oprogramowanie antywirusowe. AdwCleaner usunie resztki, a mój kolejny skrypt dobije ostatnie modyfikacje. Na wszelki wypadek przeprowadzimy jeszcze skan antywirusowy rekomendowanym narzędziem. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoActiveDesktop] 1 HKLM\...\Policies\Explorer: [NoActiveDesktopChanges] 1 HKLM\...\Policies\Explorer: [ForceActiveDesktopOn] 0 HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 145 HKLM\ DisallowedCertificates: 1916A2AF346D399F50313C393200F14140456616 (U) HKLM\ DisallowedCertificates: 2A83E9020591A55FC6DDAD3FB102794C52B24E70 (U) HKLM\ DisallowedCertificates: 2B84BFBB34EE2EF949FE1CBE30AA026416EB2216 (U) HKLM\ DisallowedCertificates: 305F8BD17AA2CBC483A4C41B19A39A0C75DA39D6 (U) HKLM\ DisallowedCertificates: 367D4B3B4FCBBC0B767B2EC0CDB2A36EAB71A4EB (U) HKLM\ DisallowedCertificates: 3A850044D8A195CD401A680C012CB0A3B5F8DC08 (U) HKLM\ DisallowedCertificates: 40AA38731BD189F9CDB5B9DC35E2136F38777AF4 (U) HKLM\ DisallowedCertificates: 43D9BCB568E039D073A74A71D8511F7476089CC3 (U) HKLM\ DisallowedCertificates: 471C949A8143DB5AD5CDF1C972864A2504FA23C9 (U) HKLM\ DisallowedCertificates: 51C3247D60F356C7CA3BAF4C3F429DAC93EE7B74 (U) HKLM\ DisallowedCertificates: 5DE83EE82AC5090AEA9D6AC4E7A6E213F946E179 (U) HKLM\ DisallowedCertificates: 61793FCBFA4F9008309BBA5FF12D2CB29CD4151A (U) HKLM\ DisallowedCertificates: 637162CC59A3A1E25956FA5FA8F60D2E1C52EAC6 (U) HKLM\ DisallowedCertificates: 63FEAE960BAA91E343CE2BD8B71798C76BDB77D0 (U) HKLM\ DisallowedCertificates: 6431723036FD26DEA502792FA595922493030F97 (U) HKLM\ DisallowedCertificates: 7D7F4414CCEF168ADF6BF40753B5BECD78375931 (U) HKLM\ DisallowedCertificates: 80962AE4D6C5B442894E95A13E4A699E07D694CF (U) HKLM\ DisallowedCertificates: 86E817C81A5CA672FE000F36F878C19518D6F844 (U) HKLM\ DisallowedCertificates: 8E5BD50D6AE686D65252F843A9D4B96D197730AB (U) HKLM\ DisallowedCertificates: 9845A431D51959CAF225322B4A4FE9F223CE6D15 (U) HKLM\ DisallowedCertificates: B533345D06F64516403C00DA03187D3BFEF59156 (U) HKLM\ DisallowedCertificates: B86E791620F759F17B8D25E38CA8BE32E7D5EAC2 (U) HKLM\ DisallowedCertificates: C060ED44CBD881BD0EF86C0BA287DDCF8167478C (U) HKLM\ DisallowedCertificates: CEA586B2CE593EC7D939898337C57814708AB2BE (U) HKLM\ DisallowedCertificates: D018B62DC518907247DF50925BB09ACF4A5CB3AD (U) HKLM\ DisallowedCertificates: F8A54E03AADC5692B850496A4C4630FFEAA29D83 (U) HKLM\ DisallowedCertificates: FA6660A94AB45F6A88C0D7874D89A863D74DEE97 (U) Lsa: [Authentication Packages] msv1_0 Lsa: [Notification Packages] scecli SecurityProviders: credssp.dll SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Brak pliku SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Brak pliku BootExecute: autocheck autochk * AlternateShell: cmd.exe CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUhRUsNvWw5M9AO9drg1XVRzKClyLFY6lwEOj-mdUGkERacYWGX4zOQdYLpyP8DPgDukEj4ZRGV2PEryUmtzeVsk1YYXw,, S2 RIVpemjyECl8 Updater; C:\Program Files (x86)\RIVpemjyECl8 Updater\RIVpemjyECl8 Updater.exe [X] S2 suUqZBp2wcSI Updater; C:\Program Files (x86)\suUqZBp2wcSI Updater\suUqZBp2wcSI Updater.exe [X] U3 Winsock; Brak ImagePath C:\Users\wiczi\Desktop\securedisk — skrót.lnk C:\Users\Public\Desktop\Download icq.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się