-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
Tak, ale poza problemem tytułowym dostarczone raporty wykazują w systemie infekcję. Czy na pewno odbyły się działania pod tym kątem? Proszę o dostarczenie nowego pełnego zestawu raportów FRST (brakuje Shortcut) w celu jej usunięcia.
-
By może ruch sieciowy idzie przez lokalny serwer proxy.
Zrób zestaw raportów FRST.
-
Temat założony w złym dziale (przenoszę do Platformy klienckie Microsoftu). To jest dział zajmujący się dezynfekcją systemów operacyjnych. Załącznik nie działa - załącz plik ponownie.
Spróbuj skasować ten plik używając programu Delete FXP Files.
-
DelFix posprzątał po narzędziach.
Temat zamykam.
-
Ale mnie właśnie to zastanawia, bo reset w FF przyniósł rezultat, a w Edge nie (mimo, że mechanizm i tak zahaczył o obszar modyfikacji). Okej, najważniejsze, że problem rozwiązany.
Czy możemy przejść do finalizacji tematu? Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
W razie pytań pozostaje do dyspozycji.
-
Spoiler
Dobrze, kasacja poprzedniego posta i ostrzeżenie na PW nie przynoszą rezultatu, a więc oficjalnie zawiadamiam, że wnoszę w moderatorni o nałożenie ograniczenia moderacji treści (każdy post będzie musiał zatwierdzać uprzednio moderator określonego działu). Teraz od ręki masz kolejne ostrzeżenie.
CytatCzemu ech?A od kiedy to opcje przywracania przegladarek do ustawień fabrycznych w przypadku ich porwania sa "ech".
Nie masz uprawnień, by udzielać jakichkolwiek instrukcji w tym dziale. Łamanie regulaminu to łamanie regulaminu. W dodatku chowasz się za moimi plecami (nic nie rób bez polecenia moderatora), ale jednak przemycasz swoje instrukcję doskonale zdając sobie sprawę co poczyni użytkownik. Po za tym powielasz zadane już przeze mnie instrukcję, który zawiodły.
Kwestia źródeł instrukcji też świadczy o braku Twoich jakichkolwiek kompetencji.
Cytat A jak nazwac tu co tu jest.Ja bym zrobił czyszczenie.Ty wolisz kasować posty.
Ja wolę dbać o porządek i bezpieczeństwo użytkowników i na mocy nadanego mi statusu moderatora robię to zgodnie z regulaminem, z którym powinieneś się zapoznać. Przerażający fakt jest taki, że ty doskonale znasz ten regulamin, a i tak masz go w głębokim poważaniu.
CytatCoś mi to zaczyna przypominać "stare ,dobre searchengines".
Z przyzwoitości przemilczę, szkoda słów.
Przepraszam za to zamieszanie, ale niestety nie mam wpływu na zachowanie użytkowników i jako moderator muszę reagować publicznie, gdyż jak widać prywatne wiadomości są ignorowane...
Poszerzymy diagnostykę:
1. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry), później również powtórz dla Szukaj plików (Search Files).
nav-pl;home-nav
Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.
2. Uruchom AdwCleaner. Kliknij w Skanuj teraz, jeśli coś zostanie wykryte to klik w Wyświetl plik dziennika skanowania i dostarcz wyświetlony raport.
-
OK, Firefox z głowy, oprócz tego jest też pewien progres, bo w Edge uwidocznił się wpis związany z home-nav. Trzeba go skasować:
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses: CreateRestorePoint: Edge HomeButtonPage: HKU\S-1-5-21-884506476-4104237763-1504462347-1001 -> hxxp://www.nav-pl.com/
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Napisz jak wygląda sytuacja po tym zabiegu, zrób nowy zestaw raportów FRST (bez Shortcut) i dołącz plik fixlog.txt.
-
Cytat
Co zostało zrobione by naprawić? Skan Avastem, Defenderem...zero efektów. Na szybko skany on-line Esetm I Mks_Virem...zero efektów. Dalej, skan Malwarebytes...zero efektów.
Zero efektów = rozumiem, że nic nie zostało wykryte? Jeśli pojawiły się jakieś detekcje proszę o raport z tych narzędzi.
Raporty nie wykazują oznak infekcji, ja myślę, że trzeba po prostu "szerokospektralnie" te przeglądarki wyczyścić, gdyż być może infekcja z przeszłości pozostawiła tam jakieś zombie-ślady.
Skrypt zdejmie politykę nałożoną na Mozilla FireFox, a także usunie martwe wpisy / skróty / wyczyści lokalizacje tymczasowe (w tym kosz). Kasuję także folder po lewym aktywatorze KMSpico i jego pochodne (HWID.Generation.without.KMS) w katalogu Downloads (Windows Defender wykrywa je jako zagrożenia).
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses: CreateRestorePoint: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA S3 MSICDSetup; \??\F:\CDriver.sys [X] S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X] 2019-04-12 16:22 - 2019-04-24 22:01 - 014219582 _____ C:\Users\Adam\Downloads\HWID.Generation.without.KMS.or.predecessor.install.or.upgrade.rar 2019-04-12 16:22 - 2019-04-12 16:22 - 000000000 ____D C:\Users\Adam\Downloads\HWID.Generation.without.KMS.or.predecessor.install.or.upgrade 2019-04-11 16:20 - 2019-04-11 19:29 - 000000000 ____D C:\Program Files\KMSpico ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Brak pliku ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Brak pliku ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Brak pliku ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Brak pliku ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Brak pliku ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> Brak pliku Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Wyczyść przeglądarkę Mozilla Firefox:
- Odłącz synchronizację (o ile włączona): Instrukcje.
- W pasku adresów wpisz about:support i ENTER. Kliknij opcję Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
- W pasku adresów wpisz about:preferences#privacy i ENTER. Wybierz opcję Wyczyść historię.
3. Wyczyść przeglądarkę Edge:
- Przycisk Start > Ustawienia > Aplikacje > podświetl na liście Microsoft Edge > kliknij w Opcje Zaawansowane > Resetuj. Ulubione nie zostaną naruszone.
4. Napisz jak wygląda sytuacja po tych zabiegach, zrób nowy zestaw raportów FRST (już bez Shortcut) i dołącz plik fixlog.txt.
-
Dzięki @picasso!
Tak, wiem i pisałem to wyżej (że to blokady adware / PUP), ale to dość przestarzała metoda mogąca powodować problemy z wydajnością, dlatego zwracam na to uwagę. W każdym razie te wpisy dodał autoryzowany program. Myślę, że można to zostawić zwłaszcza, że nie zgłaszasz problemów z wydajnością.
-
SpoilerCytat
Napisałem wyraznie co Ja bym zrobił..
A to co ja bym zrobił nie miało by najmniejszego wpływu na na resztę jakichkolwiek porad które np. Ty byś mi dalej udzielał.
Nie, to była dość konkretna porada, do której zresztą użytkownik się zastosował. Przecież wiadomo jak takie posty są odbierane. Chowanie w głowy w piasek i próba przemytu swoich instrukcji. Twoja odpowiedź teraz idealnie to obrazuję.
CytatOd kiedy przeskanowanie systemu własnym AV i sprawdzenie pliku host mogło by w czymś zaszkodzić?
A to już wyjaśniłem w pierwszym poście skierowanym do Ciebie. Swoją drogą, po co ten Hosts sprawdzać ręcznie, skoro można to zrobić w oparciu o raporty... Od kiedy? Odkąd się zajmuję pomaganiem to wiem, że taka sytuacja jest możliwa i w przypadku pomocy udzielanej przeze mnie lub w dziale, którym się opiekuję moim obowiązkiem jest minimalizowanie takiego ryzyka. Jak mówię ja dbam o to, bym nie zaszkodził. Skaner jest do użytku domowego, tak to prawda i zgadzam się z tym, ale jeśli ktoś prosi konkretnie o pomoc mnie to ja chcę mieć choć odrobinę pewności, że wszystko przebiega w bezpieczny sposób. Po pierwsze nie szkodzić.
CytatP.S.To juz przeanalizowac raportów nie mozna?Czy podałem moze jakiś plik naprawczy czy tez raczej wyraznie napisałem by czekano na moderatora.
Ależ oczywiście, że można. Nie można za to na ich podstawie (w tym dziale) podawać jakichkolwiek instrukcji do wykonania użytkownikowi. Zadałeś automat do wykonania = złamałeś regulamin działu. Jedno i to samo. Nie ma znaczenie rodzaj porady, porada to porada. Inna sprawa, że automat to wcale nie jest byle jaka porada i została nawet specjalnie wypunktowana w regulaminie.
CytatCo do odpowiadania głową to bez przesady.Jak mnie pamięc nie myli to przy uruchamianiu farbara delikwent podpisuje "cyrograf" ze robi to wyłącznie na własna odpowiedzialność poniewaz on tez nie jest nieomylny.
Farbar otwarcie mówi też, że FRST to narzędzie specjalistyczne i wskazane jest by posługiwali się nim specjaliści. A czy odpowiadam głową? Tak. Przynajmniej w moim mniemaniu staram się to robić, czyli brać odpowiedzialność za to co robię w tym kontekście = minimalizować ryzyko jakichkolwiek "powikłań" związanych z instrukcją. Odpowiadam głową w tym kontekście nie oznacza, że za popełniony błąd ktoś mi odetnie łeb. Chodzi mi o to, że myślę udzielając instrukcji, tak jakbym faktycznie za to głową odpowiadał. Wg mnie jest to dobre podejście świadczące o dobrej pomocy, a nie odwalaniu fuszerki = zrobię komuś armagedon bo i tak za nic nie odpowiadam. Jeśli coś złego się stanie - trudno - zdarza się - trzeba pomóc odkręcić awarie. Chodzi o odpowiedzialne podejście, a nie konkretnie za ponoszenie odpowiedzialności za błędy.
Jeśli masz jeszcze jakieś wątpliwości zapraszam na prywatną wiadomość.
Już analizuję raporty.
-
Raporty muszą być bez dat, czyli nie z archiwalnego C:\FRST, a miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie ma nowszych raportów.
Proszę o dostarczenie nowych, poprawnych raportów w celu wykonania ich analizy.
@zbycho uwagi w spoilerze:
SpoilerCytatTo nie będzie porada bo nie mam tu takich uprawnień (...)
To nie jest pierwszy raz kiedy Twoje posty są na pograniczu łamania regulaminu, a w tym konkretnym przypadku ten regulamin został złamany i przyznaję ostrzeżenie. Złamałeś dwa pierwsze warunki pkt. 3 regulaminu działu:
Cytat- Podejmowanie prób analizy tematu infekcyjnego (niezależnie od rodzaju czy braku raportów w prośbie o pomoc)
- Udzielanie instrukcji dezynfekcyjnych, czy to przy udziale metod ręcznych, czy przy udziale określonej aplikacji automatycznej
...czyli: przeanalizowałeś raporty + zadałeś instrukcję w postaci użycia automatycznego narzędzia skanującego Avast / zleciłeś deinstalację Avast SafePrice / analizę pliku Hosts. Ty nie możesz interpretować regulaminu jak Ci się żywnie podoba i przeczyć jego postanowieniom. Zdajesz sobie sprawę, że nie możesz udzielać w tym dziale porad, piszesz, że tego nie robisz, ale jednak zlecasz określone działania. Ja za to co robię odpowiadam głową - jeśli uszkodzę komuś system z powodów zaniedbań - picasso może mi odebrać uprawnienia, a użytkownik ukręci mi łeb. Nie wiesz jakie komponenty wykryję Avast, a więc nie wiesz również co zostanie usunięte bądź zmodyfikowane, a co jeśli dojdzie do uszkodzenia? Osobiście przerabiałem multum tematów, gdzie skaner dokonał uszkodzeń i trzeba było je korygować. Nie mówię, że skanery są złe i nie można ich używać na własną rękę, ale dopóki to się odbywa w moim dziale, gdzie jak mówię odpowiadam za pewne rzeczy głową mówię stanowcze nie dla samowolki. Dopuszczone reakcje na temat są omówione w regulaminie.
-
Wszystko jasne, jest widoczna ta modyfikacja:
[HKU\S-1-5-21-1641488702-4030686172-2378855051-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\UserChoice] "Progid"="Applications\AcroRd32.exe"
Wykonaj poniższy skrypt (ubocznie zostanie też wyczyszczony kosz):
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
DeleteKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\UserChoice EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Zaprezentuj powstały plik fixlog.txt. Napisz czy problem ustąpił.
-
Raporty nie wykazują oznak infekcji (poprawki kosmetyczne pomijam, bo są one obecnie nieistotne), więc temat przenoszę do działu Windows 7.
Wydaję mi się, że wiem w czym leży problem. Pokaż mi jak wyglądają klucze rejestru odpowiedzialne za metodę / skojarzenie uruchomienia programu:
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
ExportKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe ExportKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Zaprezentuj powstały plik fixlog.txt.
-
Okej, pierwsze do wystrzelenia były by właśnie twory LG i Avira, bo były widoczne błędy w Dzienniku zdarzeń. Czysty rozruch polega na tym, że system startuję bez większości nakładek od oprogramowania zewnętrznego i wówczas można ustalić metodą prób i błędów, które oprogramowanie jest problematyczne. Jeśli zaś podczas czystego rozruchu problem wciąż występuje należy podejrzewać inną etiologię i wtedy nie trzeba tracić czasu na zgadywanki. I tak infekcji brak, a więc wygląda na to, że możemy kończyć - zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
-
@Nessi napisał, że nie ma możliwości zmiany żadnych ustawień w zakładce Windows Defender:
CytatTego defender`a mam całkowicie wyłączonego,w ustawieniach defender`a nawet nie mogę nic odznaczyć/zaznaczyć bo jest to zablokowane,przez to że jest wyłączony.
Nessi upewnij się jeszcze, że ta opcja (Periodic Scanning / Skanowanie okresowe) również jest u Ciebie wyłączona, bo ona nie jest do końca zależna od statusu Windows Defender i Zbyszek może mieć rację. Może zbyt ogólnikowo potraktowałem Twoją relację Nessi. Zwracam honory obydwu ;)
-
@zbycho czytaj proszę temat, w którym udzielasz porady, by nie powielać już sprawdzonych możliwości.
-
Speed Dial 2 nie był zadawany przez @jessica do celowego usunięcia. Cieszę się, że pomoc na forum okazała się skuteczna.
Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
-
W raportach brak oznak infekcji. Drobne działania kosmetyczne pomijam, bo są one obecnie całkowicie nieistotne.
Temat przenoszę do działu Windows 7, gdzie będzie prowadzona dalsza pomoc. Powiedz mi jak wygląda start systemu podczas tzw. czystego rozruchu (postępuj zgodnie z instrukcją dla Windows 7) . Czy też występuję takie chwilowe zawieszenie?
-
ComboFix to narzędzie, które można stosować jedynie pod okiem specjalisty. Może narobić więcej szkody niż pożytku, gdy nie jest stosowane w odpowiedniej sytuacji - do poczytania.
Proszę dostarczyć wymagane raporty systemowe (FRST) w celu weryfikacji systemu pod kątem potencjalnej infekcji.
CytatPonadto tworzy pliki które zamieszczam pomiżej. Jeżeli usunę pliki to po restarcie komputera są ponownie tworzone.
Successfully deleted: C:\Users\T\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IX5WSYIC (Temporary Internet Files Folder)
Successfully deleted: C:\Users\T\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KTC5X1ZL (Temporary Internet Files Folder)
Successfully deleted: C:\Users\T\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q8PP5W1O (Temporary Internet Files Folder)
Successfully deleted: C:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IX5WSYIC (Temporary Internet Files Folder)
Successfully deleted: C:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KTC5X1ZL (Temporary Internet Files Folder)
Successfully deleted: C:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q8PP5W1O (Temporary Internet Files Folder)To są lokalizacje tymczasowe przeglądarki Internet Explorer, w których przechowywania jest pamięć podręczna. One są czyszczone z automatu i nie świadczą o infekcji.
-
Wszystko pomyślnie wykonane, zastosuj ponownie DelFix.
-
@iJuliusz nie ma uprawnień, by udzielać porad w tym dziale. Post został skasowany.
Jeśli znajdę czas postaram się jeszcze dziś udzielić Ci arthy odpowiedzi.
-
To nie wina tych rozszerzeń, w Harmonogramie zadań pozostał przeoczony przeze mnie wpis tej infekcji i nastąpiło jej odtworzenie (przepraszam za to). Przy okazji spróbuję jeszcze raz wyzerować plik Hosts, przejdź do wykonywania zadań:
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Run: [Artur] => cmd.exe /c start www.dinoraptzor.org Task: {A9EBD6FD-8DF7-47AF-966B-6DC5EEAE3B15} - System32\Tasks\Artur => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Artur /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA Hosts:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Napisz jak wygląda sytuacja.
-
Wesołych Świąt!
-
Nie widzę żadnych świeżych błędów związanych z Windows Defender. Nie mam obecnie pomysłu co może powodować ten problem, muszę pomyśleć, dam znać.
witam
w "Relaxation Room"
Opublikowano
Cześć @jimbeam! ?
Miło mi powitać Cię na forum.