Miszel03

Cześć @jimbeam! ? Miło mi powitać Cię na forum.

Tak, ale poza problemem tytułowym dostarczone raporty wykazują w systemie infekcję. Czy na pewno odbyły się działania pod tym kątem? Proszę o dostarczenie nowego pełnego zestawu raportów FRST (brakuje Shortcut) w celu jej usunięcia.

By może ruch sieciowy idzie przez lokalny serwer proxy. Zrób zestaw raportów FRST.

Temat założony w złym dziale (przenoszę do Platformy klienckie Microsoftu). To jest dział zajmujący się dezynfekcją systemów operacyjnych. Załącznik nie działa - załącz plik ponownie. Spróbuj skasować ten plik używając programu Delete FXP Files.

DelFix posprzątał po narzędziach. Temat zamykam.

Ale mnie właśnie to zastanawia, bo reset w FF przyniósł rezultat, a w Edge nie (mimo, że mechanizm i tak zahaczył o obszar modyfikacji). Okej, najważniejsze, że problem rozwiązany. Czy możemy przejść do finalizacji tematu? Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. W razie pytań pozostaje do dyspozycji.

@suroH Przepraszam za to zamieszanie, ale niestety nie mam wpływu na zachowanie użytkowników i jako moderator muszę reagować publicznie, gdyż jak widać prywatne wiadomości są ignorowane... Poszerzymy diagnostykę: 1. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry), później również powtórz dla Szukaj plików (Search Files). nav-pl;home-nav Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 2. Uruchom AdwCleaner. Kliknij w Skanuj teraz, jeśli coś zostanie wykryte to klik w Wyświetl plik dziennika skanowania i dostarcz wyświetlony raport.

OK, Firefox z głowy, oprócz tego jest też pewien progres, bo w Edge uwidocznił się wpis związany z home-nav. Trzeba go skasować: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Edge HomeButtonPage: HKU\S-1-5-21-884506476-4104237763-1504462347-1001 -> hxxp://www.nav-pl.com/ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napisz jak wygląda sytuacja po tym zabiegu, zrób nowy zestaw raportów FRST (bez Shortcut) i dołącz plik fixlog.txt.

Zero efektów = rozumiem, że nic nie zostało wykryte? Jeśli pojawiły się jakieś detekcje proszę o raport z tych narzędzi. Raporty nie wykazują oznak infekcji, ja myślę, że trzeba po prostu "szerokospektralnie" te przeglądarki wyczyścić, gdyż być może infekcja z przeszłości pozostawiła tam jakieś zombie-ślady. Skrypt zdejmie politykę nałożoną na Mozilla FireFox, a także usunie martwe wpisy / skróty / wyczyści lokalizacje tymczasowe (w tym kosz). Kasuję także folder po lewym aktywatorze KMSpico i jego pochodne (HWID.Generation.without.KMS) w katalogu Downloads (Windows Defender wykrywa je jako zagrożenia). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA S3 MSICDSetup; \??\F:\CDriver.sys [X] S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X] 2019-04-12 16:22 - 2019-04-24 22:01 - 014219582 _____ C:\Users\Adam\Downloads\HWID.Generation.without.KMS.or.predecessor.install.or.upgrade.rar 2019-04-12 16:22 - 2019-04-12 16:22 - 000000000 ____D C:\Users\Adam\Downloads\HWID.Generation.without.KMS.or.predecessor.install.or.upgrade 2019-04-11 16:20 - 2019-04-11 19:29 - 000000000 ____D C:\Program Files\KMSpico ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Brak pliku ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Brak pliku ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Brak pliku ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Brak pliku ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Brak pliku ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> Brak pliku Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Mozilla Firefox: Odłącz synchronizację (o ile włączona): Instrukcje. W pasku adresów wpisz about:support i ENTER. Kliknij opcję Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. W pasku adresów wpisz about:preferences#privacy i ENTER. Wybierz opcję Wyczyść historię. 3. Wyczyść przeglądarkę Edge: Przycisk Start > Ustawienia > Aplikacje > podświetl na liście Microsoft Edge > kliknij w Opcje Zaawansowane > Resetuj. Ulubione nie zostaną naruszone. 4. Napisz jak wygląda sytuacja po tych zabiegach, zrób nowy zestaw raportów FRST (już bez Shortcut) i dołącz plik fixlog.txt.

Dzięki @picasso! Tak, wiem i pisałem to wyżej (że to blokady adware / PUP), ale to dość przestarzała metoda mogąca powodować problemy z wydajnością, dlatego zwracam na to uwagę. W każdym razie te wpisy dodał autoryzowany program. Myślę, że można to zostawić zwłaszcza, że nie zgłaszasz problemów z wydajnością.

@suroH Już analizuję raporty.

@suroH Raporty muszą być bez dat, czyli nie z archiwalnego C:\FRST, a miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie ma nowszych raportów. Proszę o dostarczenie nowych, poprawnych raportów w celu wykonania ich analizy. @zbycho uwagi w spoilerze:

Wszystko jasne, jest widoczna ta modyfikacja: [HKU\S-1-5-21-1641488702-4030686172-2378855051-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\UserChoice] "Progid"="Applications\AcroRd32.exe" Wykonaj poniższy skrypt (ubocznie zostanie też wyczyszczony kosz): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: DeleteKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\UserChoice EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zaprezentuj powstały plik fixlog.txt. Napisz czy problem ustąpił.

Raporty nie wykazują oznak infekcji (poprawki kosmetyczne pomijam, bo są one obecnie nieistotne), więc temat przenoszę do działu Windows 7. Wydaję mi się, że wiem w czym leży problem. Pokaż mi jak wyglądają klucze rejestru odpowiedzialne za metodę / skojarzenie uruchomienia programu: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: ExportKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe ExportKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zaprezentuj powstały plik fixlog.txt.

Okej, pierwsze do wystrzelenia były by właśnie twory LG i Avira, bo były widoczne błędy w Dzienniku zdarzeń. Czysty rozruch polega na tym, że system startuję bez większości nakładek od oprogramowania zewnętrznego i wówczas można ustalić metodą prób i błędów, które oprogramowanie jest problematyczne. Jeśli zaś podczas czystego rozruchu problem wciąż występuje należy podejrzewać inną etiologię i wtedy nie trzeba tracić czasu na zgadywanki. I tak infekcji brak, a więc wygląda na to, że możemy kończyć - zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

@Nessi napisał, że nie ma możliwości zmiany żadnych ustawień w zakładce Windows Defender: Nessi upewnij się jeszcze, że ta opcja (Periodic Scanning / Skanowanie okresowe) również jest u Ciebie wyłączona, bo ona nie jest do końca zależna od statusu Windows Defender i Zbyszek może mieć rację. Może zbyt ogólnikowo potraktowałem Twoją relację Nessi. Zwracam honory obydwu ;)

@zbycho czytaj proszę temat, w którym udzielasz porady, by nie powielać już sprawdzonych możliwości.

Speed Dial 2 nie był zadawany przez @jessica do celowego usunięcia. Cieszę się, że pomoc na forum okazała się skuteczna. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

W raportach brak oznak infekcji. Drobne działania kosmetyczne pomijam, bo są one obecnie całkowicie nieistotne. Temat przenoszę do działu Windows 7, gdzie będzie prowadzona dalsza pomoc. Powiedz mi jak wygląda start systemu podczas tzw. czystego rozruchu (postępuj zgodnie z instrukcją dla Windows 7) . Czy też występuję takie chwilowe zawieszenie?

ComboFix to narzędzie, które można stosować jedynie pod okiem specjalisty. Może narobić więcej szkody niż pożytku, gdy nie jest stosowane w odpowiedniej sytuacji - do poczytania. Proszę dostarczyć wymagane raporty systemowe (FRST) w celu weryfikacji systemu pod kątem potencjalnej infekcji. To są lokalizacje tymczasowe przeglądarki Internet Explorer, w których przechowywania jest pamięć podręczna. One są czyszczone z automatu i nie świadczą o infekcji.

Wszystko pomyślnie wykonane, zastosuj ponownie DelFix.

@iJuliusz nie ma uprawnień, by udzielać porad w tym dziale. Post został skasowany. Jeśli znajdę czas postaram się jeszcze dziś udzielić Ci arthy odpowiedzi.

To nie wina tych rozszerzeń, w Harmonogramie zadań pozostał przeoczony przeze mnie wpis tej infekcji i nastąpiło jej odtworzenie (przepraszam za to). Przy okazji spróbuję jeszcze raz wyzerować plik Hosts, przejdź do wykonywania zadań: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Run: [Artur] => cmd.exe /c start www.dinoraptzor.org Task: {A9EBD6FD-8DF7-47AF-966B-6DC5EEAE3B15} - System32\Tasks\Artur => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Artur /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Napisz jak wygląda sytuacja.

Wesołych Świąt!

Nie widzę żadnych świeżych błędów związanych z Windows Defender. Nie mam obecnie pomysłu co może powodować ten problem, muszę pomyśleć, dam znać.