Kolobos

:arrow: NostradamuSek Autor ma W7 i naklejke z kluczem, wiec nie musi miec klucza/certyfikatu w biosie.

Nie zmienil wlasciciela, producent sprzedaje czesci lub calosc jako OEM innym producentom, ktorzy sprzedaja to pod swoja nazwa, to normalne w przypadku Clevo, Uniwill i reszty.

Pierwszy link z google: http://www.ecs.com.tw/ECSWebSite/Product/Product_Detail.aspx?CategoryID=3&DetailID=773&DetailName=Feature&MenuID=93&LanID=0

Poniewaz instaluje szkodliwe dodatki.

Odinstaluj: YTD Video Downloader 4.8.8 Fixlist.txt dla FRST: HKU\S-1-5-21-3486442584-993184211-3636428798-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo HKU\S-1-5-21-3486442584-993184211-3636428798-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo SearchScopes: HKU\S-1-5-21-3486442584-993184211-3636428798-1001 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-3486442584-993184211-3636428798-1001 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-3486442584-993184211-3636428798-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-3486442584-993184211-3636428798-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo S0 gqbhjg; No ImagePath S0 iswtwq; No ImagePath EmptyTemp:

Wystarczy sciagnac SalityKiller z innej strony, na softpedii sa 3 rozne serwery.

Uzyj SalityKiller pare razy, az nie bedzie juz niczego wykrywal. Nastepnie Cureit oraz mbam. W UsbFix wybierz Clean. Po wykonaniu daj logi z FRST (wklej na wklej.org i podaj linki).

Zapewne zainfekowany router, ale bez logow ciezko zgadywac. Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner Daj w zalaczniku logi z FRST (Frst.txt oraz Addition.txt): http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Nie uzywaj nigdy wiecej combofix. Masz zainfekowany router, wykonaj: http://www.elektroda.pl/rtvforum/viewtopic.php?t=2874173 Najwazniejsze to zablokowanie dostepu do panelu routera z internetu, o tak: http://www.tp-link.com.pl/article/?faqid=568w modelach innych producentow jest podobnie. Przy okazji Fixlist.txt dla FRST: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-3336736602-1274293856-3359488004-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File S3 catchme; \??\C:\Users\Piotr\AppData\Local\Temp\catchme.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] 2014-12-27 11:00 - 2014-12-27 11:00 - 00036707 _____ () C:\ComboFix.txt 2014-12-26 09:46 - 2014-12-27 11:02 - 00000000 ____D () C:\Qoobox 2014-12-26 09:46 - 2011-06-26 07:45 - 00256000 _____ () C:\Windows\PEV.exe 2014-12-26 09:46 - 2010-11-07 18:20 - 00208896 _____ () C:\Windows\MBR.exe 2014-12-26 09:46 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe 2014-12-26 09:46 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe 2014-12-26 09:46 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe 2014-12-26 09:46 - 2000-08-31 01:00 - 00098816 _____ () C:\Windows\sed.exe 2014-12-26 09:46 - 2000-08-31 01:00 - 00080412 _____ () C:\Windows\grep.exe 2014-12-26 09:46 - 2000-08-31 01:00 - 00068096 _____ () C:\Windows\zip.exe 2014-12-26 09:45 - 2014-12-26 09:45 - 05603624 ____R (Swearware) C:\Users\Piotr\Downloads\ComboFix.exe 2014-12-17 23:05 - 2014-05-07 07:26 - 00000000 ____D () C:\AdwCleaner EmptyTemp:

Musialo, innej mozliwosci nie bylo ;)

Warto zasmiecac forum takimi "problemami"? Pierwsze co robi myslacy czlowiek to klika dwa razy, ale po co skoro mozna napisac na forum z taka glupota...

Obok frst.exe utworz plik fixlist.txt z zawartoscia: Task: {56815E54-FE14-4423-97B2-08AA5314EA93} - System32\Tasks\Microsoft\shutdown week => shutdown Task: {B7094268-5C36-4971-99EC-81BCD92E59AB} - System32\Tasks\{A0AC7CF7-CB22-4AD8-B9EC-FA1AEFB9A79E} => pcalua.exe -a C:\Users\PC\Desktop\sp57152.exe -d C:\Users\PC\Desktop HKLM\...\Winlogon: [shell] C:\Program Files (x86)\IntuiLab\IntuiFace Presentation Player\v3\IntuiFacePlayerApp.exe [ ] () <=== ATTENTION W FRST wybierz Fix. Po ponownym uruchomieniu systemu explorer powinien wystartowac. W przypadku konta administratora nie mozesz zmienic typu konta, to konto wbudowane. Utworz nowe konto z prawami administratora.

Sprobuj aktywowac przez telefon: http://windows.microsoft.com/pl-pl/windows/activate-windows#1TC=windows-7

Moze zostalo, sprawdz zamiast pytac. Daj logi z FRST (Frst.txt oraz Addition.txt): http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ Oba wklej na wklej.org i podaj linki.

Zrob kopie rejestru, usun podany klucz z rejestru i sprobuj zainstalowac sterowniki. Probowales uruchomic instalacje z prawami administratora?

Nie widac nic ciekawego w logach. Obok frst.exe utworz plik fixlist.txt z zawartoscia: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3066235982-3237654569-703798099-1000\...\Run: [ASRock A-Tuning] => [X] HKU\S-1-5-21-3066235982-3237654569-703798099-1000\...\Run: [ASRockHDMISwitch] => [X] HKU\S-1-5-21-3066235982-3237654569-703798099-1000\...\RunOnce: [AsrOMG_Day0] => [X] HKU\S-1-5-21-3066235982-3237654569-703798099-1000\...\RunOnce: [AsrOMG_Day1] => [X] HKU\S-1-5-21-3066235982-3237654569-703798099-1000\...\RunOnce: [AsrOMG_Day2] => [X] HKU\S-1-5-21-3066235982-3237654569-703798099-1000\...\RunOnce: [AsrOMG_Day3] => [X] HKU\S-1-5-21-3066235982-3237654569-703798099-1000\...\RunOnce: [AsrOMG_Day4] => [X] HKU\S-1-5-21-3066235982-3237654569-703798099-1000\...\RunOnce: [AsrOMG_Day5] => [X] HKU\S-1-5-21-3066235982-3237654569-703798099-1000\...\RunOnce: [AsrOMG_Day6] => [X] S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] S3 EraserUtilDrv11313; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11313.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] EmptyTemp: W FRST wybierz Fix.

Brak addition.txt z FRST, nie mowiac juz o zbednym extras.txt z OTL.

Daj logi z FRST.

USBFix + oczy, to wystarczy do sprawdzenia. Zabezpieczyc sie nie da, chyba, ze bedzie tylko do odczytu ;)

Nie wyglada to na infekcje.

Nie uzywaj Combofix! Odinstaluj: BetterMarkIt (HKLM-x32\...\C9DDE3AD-0A96-D6C9-695C-EFC7D13FEDF0) (Version: - BetterMarkIt-software) <==== ATTENTION WPM18.8.0.212 (HKLM-x32\...\WPM) (Version: 18.8.0.212 - Cherished Technololgy LIMITED) <==== ATTENTION Obok frst.exe utworz plik fixlist.txt z zawartoscia: Task: {19ACDB13-FF7B-41E5-BED0-FB934F10E13E} - System32\Tasks\BetterMarkIt_wd => C:\Program Files (x86)\BetterMarkIt-soft\BetterMarkItkllIXw.exe [2014-04-21] () <==== ATTENTION Task: {5B9E8027-310D-4AE2-BB53-8F1DD46A54F3} - System32\Tasks\BetterMarkIt Update => C:\Program Files (x86)\BetterMarkIt-soft\BetterMarkItkll.exe [2014-04-21] () <==== ATTENTION Task: {64D61AD3-9190-4C00-A73B-B43BDEE0C485} - \Dealply No Task File <==== ATTENTION Task: C:\Windows\Tasks\BetterMarkIt Update.job => C:\Program Files (x86)\BetterMarkIt-soft\BetterMarkItkll.exe <==== ATTENTION Task: C:\Windows\Tasks\BetterMarkIt_wd.job => C:\Program Files (x86)\BetterMarkIt-soft\BetterMarkItkllIXw.exe <==== ATTENTION (Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe () C:\Program Files (x86)\BetterMarkIt-soft\BetterMarkItkll158.exe GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION ProxyEnable: Internet Explorer proxy is enabled. ProxyServer: http=127.0.0.1:13828 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1398098923&from=wpc&uid=ST3250410AS_9RY11F31XXXX9RY11F31 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1398098923&from=wpc&uid=ST3250410AS_9RY11F31XXXX9RY11F31&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1398098923&from=wpc&uid=ST3250410AS_9RY11F31XXXX9RY11F31 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1398098923&from=wpc&uid=ST3250410AS_9RY11F31XXXX9RY11F31 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1398098923&from=wpc&uid=ST3250410AS_9RY11F31XXXX9RY11F31&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF SearchPlugin: C:\Users\Krzys\AppData\Roaming\Mozilla\Firefox\Profiles\66bo2zcb.default\searchplugins\bingp.xml R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [566272 2014-04-21] (Cherished Technololgy LIMITED) [File not signed] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] 2014-10-18 16:59 - 2014-10-18 17:26 - 00000000 ____D () C:\Qoobox 2014-10-18 16:59 - 2011-06-26 08:45 - 00256000 _____ () C:\Windows\PEV.exe 2014-10-18 16:59 - 2010-11-07 19:20 - 00208896 _____ () C:\Windows\MBR.exe 2014-10-18 16:59 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe 2014-10-18 16:59 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe 2014-10-18 16:59 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe 2014-10-18 16:59 - 2000-08-31 02:00 - 00098816 _____ () C:\Windows\sed.exe 2014-10-18 16:59 - 2000-08-31 02:00 - 00080412 _____ () C:\Windows\grep.exe 2014-10-18 16:59 - 2000-08-31 02:00 - 00068096 _____ () C:\Windows\zip.exe 2014-10-19 20:47 - 2014-04-21 18:47 - 00000436 _____ () C:\Windows\Tasks\BetterMarkIt Update.job 2014-10-19 20:47 - 2014-04-21 18:47 - 00000426 _____ () C:\Windows\Tasks\BetterMarkIt_wd.job C:\Program Files (x86)\BetterMarkIt-soft\ C:\ProgramData\WPM\ W FRST wybierz Fix. Usun katalog C:\FRST i to wszystko.

Uzyj WinDirStat.

W logach nic ciekawego nie widac. Wykonaj: https://support.google.com/chrome/answer/3296214?hl=pl

Nie uzywaj combofix! Odinstaluj: Spybot - Search & Destroy 2 Zmien dnsy na 8.8.8.8 oraz 8.8.4.4 Daj logi z FRST: http://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/#entry119294 Wklej na wklej.org i podaj linki.

Odinstaluj: Java™ 6 Update 24 (64-bit) Zainstaluj: http://ninite.com/java/ Usun katalog C:\FRST i to wszystko.