Skocz do zawartości

Miszel03

Moderatorzy
  • Postów

    2 329
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez Miszel03

  1. Rucek, skoro zacząłeś od skanu antywirusowego, to szkoda byłoby go marnować. 1. Zweryfikowałem detekcje obu skanerów, w tym przypadku AdwCleaner pokrywa w całości również Malwarebytes. Całość to komponenty odpadkowe - nie zrobią więc bałaganu usuwane metodą siłową. Dla wszystkich detekcji AdwCleaner zastosuj akcję Oczyść. Powtórz skan dla potwierdzenia wyniku zero detekcji. 2. Po tych zabiegach dostarcz log: z dezynfekcji AdwCleanerC0 oraz drugiego skanu potwierdzającego AdwCleanerS1, a także nowy zestaw raportów FRST.
  2. Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne: kasacja martwych wpisów / resztek po przeglądarce Google Chrome i Mozilla FireFox / czyszczenie sekcji tymczasowych (w tym systemowy kosz). Temat przenoszę do działu Windows 10. Co konkretnie masz na myśli pisząc, że system zwolnił?
  3. Te detekcje Malwarebytes miały właśnie związek z modyfikacją preferencji. Skoro została zresetowana to tak. Miło mi to słyszeć. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
  4. A Malwarebytes? Na przyszłość: proszę takie logi zachowywać, jeśli zgłaszasz się na forum (mamy wtedy większy zakres informacji dot. infekcji). Całość pomyślnie wykonana. Szkodliwy wpis usunięty. Poprawki: 1. Niestety w Google Chrome zostały zmodyfikowane preferencję: CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.trotux.com/?z=60704a4626e41bb05a5234bg4z7m4tcodzat1e7gbe&from=clc&uid=HitachiXHTS545050B9A300_101227PBN403M7HD7W3EX&type=hp" Świadczy o tym to, że zarówno mechanizmy Google jak i FRST nie są w stanie tego usunąć. Wymagana jest kompleksowa reinstalacja przeglądarki: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 2. Przez SHIFT + DELETE (omijanie kosza) skasuj martwy skrót: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Settings\AMD Settings.lnk. 3. Napisz jak podsumowujesz obecną sytuację, czy problem ustąpił?
  5. Raporty OTL kasuję - to przestarzałe i nieaktualizowane narzędzie, co oznacza, że nie może być już używane. Proszę o dostarczenie raportów z tych skanów. Za opisywany efekt odpowiedzialny jest wpis w Harmonogramie zadań, który uruchamia przeglądarkę Google Chrome z podmontowaną stroną adware. Po za kasacją tego ostałego elementu wyczyszczę system z martwych wpisów, a także resztek po przeglądarce Mozilla FireFox. Dezynfekcja: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePont: Task: {0494A984-6416-4A1E-8410-71FBAAC47DF2} - System32\Tasks\zokidifcomkui => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" zokidif.com/kui GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-713781742-3030469847-3236561710-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-713781742-3030469847-3236561710-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.trotux.com/?z=60704a4626e41bb05a5234bg4z7m4tcodzat1e7gbe&from=clc&uid=HitachiXHTS545050B9A300_101227PBN403M7HD7W3EX&type=hp" S3 atillk64; \??\C:\Program Files (x86)\AMD GPU Clock Tool\atillk64.sys [X] S3 cpuz145; \??\C:\Windows\temp\cpuz145\cpuz145_x64.sys [X] VirusTotal: C:\Users\Piotrek Królak\zKtyeTTYrY.exe VirusTotal: C:\Users\Piotrek Królak\AppData\Roaming\uAeJAvEEy.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Piotrek Królak\AppData\Local\Mozilla C:\Users\Piotrek Królak\AppData\Roaming\Mozilla C:\Users\Piotrek Królak\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie brakującym Shortcut. Dołącz też plik fixlog.txt.
  6. Miło mi to słyszeć. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
  7. Tak, ale w Twoim przypadku nie widzę już żadnej infekcji. Oczywiście. Skoro format i tak będzie wykonywany to skan Integralności można pominąć, sprawdź tylko dysk za pomocą CrystalDiskInfo.
  8. Witaj genius95! Uruchamiający się wiersz poleceń to efekt infekcji, niestety nie jestem w stanie powiedzieć konkretnie jakiej - zadałem w skrypcie analizę w serwisie VirusTotal. Podejrzewam, że to wariant koparki kryptowaluty. Oprócz oczywistej dezynfekcji odbędzie się tu również sprzątanie martwych wpisów, a także resztek po oprogramowaniu (m.in po przeglądarce Mozilla FireFox). Akcja: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePont: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {C78E616A-8237-48E5-AF44-D75E053789C3} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku HKU\S-1-5-21-1536483902-100257688-3692752940-1001\...\MountPoints2: {90808e49-0a58-11e8-8d92-1cb72c2addb7} - "F:\HiSuiteDownLoader.exe" VirusTotal: C:\Users\mkesk\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe HKU\S-1-5-21-1536483902-100257688-3692752940-1001\...\Winlogon: [shell] C:\Windows\System32\cmd.exe [273920 2018-01-17] (Microsoft Corporation) HKU\S-1-5-21-1536483902-100257688-3692752940-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\mkesk\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\mkesk\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) C:\Users\mkesk\AppData\Roaming\Microsoft\SoundMixer VirusTotal: C:\WINDOWS\System32\openssh\ssh-agent.exe VirusTotal: C:\WINDOWS\System32\openssh\sshd.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\mkesk\AppData\Local\Mozilla C:\Users\mkesk\AppData\Roaming\Mozilla C:\Users\mkesk\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie brakującym Shortcut. Dołącz też plik fixlog.txt.
  9. Te wpisy wyglądają na blokadę koparek przeglądarkowych. W każdym razie taki sposób blokad nieporządanych Hostów jest na dzień dzisiejszy mało skuteczny i wydajny. Reset był całkowicie OK. Infekcja typu adware z pewnością tu była, gdyż pod przeglądarki podpięte są skróty kierujące do szkodliwych obiektów. Aktualnie wyglądają na martwe. Przejdę do kasacji tych elementów, a przy okazji usunę resztki po oprogramowaniu / martwe wpisy i skróty (w tym kosz). Wymagane jest też odświeżenie wszystkich przeglądarek w celu wyeliminowania śladów / resztek infekcji i prześwietlenie głównych katalogów. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: Task: {4E5B3C12-993D-4C4E-9A0D-7C0359D2FA7A} - System32\Tasks\{BDAA9AEF-55E1-47E8-B19D-5FCFA7455D93} => C:\Windows\system32\pcalua.exe -a H:\PC_Adapter_USB\Software\Setup\Setup.exe -d H:\PC_Adapter_USB\Software\Setup C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Eхplоrer.lnk C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Exрlorеr (No Аdd-ons).lnk C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnet Ехрlоrеr Вrowser.lnk C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Exрlоrеr.lnk C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооgle Сhrоme.lnk C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооgle Chrоme.lnk C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеra.lnk C:\Users\Maciek\AppData\Roaming\Browsers HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => nie znaleziono FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SecureW2\Uninstall.lnk C:\Users\Maciek\Desktop\SetFileDate.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Maciek\AppData\Local CMD: dir /a C:\Users\Maciek\AppData\LocalLow CMD: dir /a C:\Users\Maciek\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Po wykonaniu skryptu zniknął niektóre skróty przeglądarek - odtwórz je (PPM na pulpicie > Nowy > Skrót > Wskaż element startowy przeglądarek). 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Wyczyść przeglądarkę Opera:Użyj kombinacji klawiszy ALT + P > z panelu bocznego wybierz zakładkę Przeglądarka > przejdź do Przywróć ustawienia początkowe przeglądarki... i zainicjuj operację. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik Fixlog.
  10. Usługi wyglądają OK. Zagrożenia wykryte przez Malwarebytes daj do kasacji. Czy wszystko jest już w na pewno porządku?
  11. mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. To już było od początku, ale myślałem, że to domyślny twór ESET. Pokaż raport Farbar Service Scanner (FSS). Proszę wykonać pkt. 3 i pkt. 4.
  12. Cześć, niestety nie miałem czasu dzisiaj się temu przyjrzeć. Postaram się jak tylko będę mógł. Póki co możesz korzystać z komputera normalnie, ale rozumiem, że chcesz wykorzystać połączenie z proxy do czegoś innego. Jak mówię: znajdę więcej czasu to odpowiem, a może ktoś inny się podejmie szybciej.
  13. Całość pomyślnie wykonana. Wszystko wygląda już w porządku. Miło mi, że mogłem pomóc! Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Skomentuje jeszcze moją wypowiedź: Sprawdziłem pierwsze raporty ponownie, wcześniej przeoczyłem to rozszerzenie: FF Extension: (WebSecure) - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\yvsayoz2.default\Extensions\{f9f072c8-5357-11e7-bb4c-c37ea2335fb4}.xpi [2018-02-07] Od kiedy zauważyłeś konkretnie te niepokojące objawy? Znasz to rozszerzenie? Ja nie mogę go zweryfikować i to wcale nie wróży dobrze, gdyż wygląda na nieoficjalne. Jakkolwiek, reset profilu zaaplikował kasację tego rozszerzenia i nie widzę, żebyś je ponownie zainstalował. To chyba była koparka.
  14. Jak wygląda sytuacja teraz? ------ Zauważyłem, że zdublowałeś tematy - KLIK. Czy skrypt był powtarzany? Nie widzę błędów w moim skrypcie (zresztą na tamtym forum pomocnik zadał skrypt bardzo podobny do mojego), być może to był efekt tymczasowy? Jeszcze się skonsultuje.
  15. W systemie brak oznak infekcji (zadaje tylko drobną kosmetykę - w tym czyszczenie kosza), ale to wygląda na typ koparki przeglądarkowej, a więc zmian nie będzie widać w systemie, a w samej przeglądarce. Musisz po prostu wchodzić na jakaś stronę, która zawiera skrypt koparki (np. z Coinhive). Założymy nowy profil w przeglądarce Mozilla FireFox, a jeśli to nie pomoże to wymagana będzie jej kompleksowa reinstalacja. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2788730441-2907322347-830627286-500\...\Policies\Explorer: [] HKU\S-1-5-21-2788730441-2907322347-830627286-500\...\MountPoints2: {d2038950-11b5-11e8-bdab-806e6f6e6963} - D:\start.exe HKU\S-1-5-21-2788730441-2907322347-830627286-500\...\MountPoints2: {dcaf5a2f-b65b-11e7-870e-806e6f6e6963} - D:\cda_menu.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = BHO: Browsing Protection by F-Secure -> {45BBE08D-81C5-4A67-AF20-B2A077C67747} -> C:\Program Files (x86)\F-Secure\SAFE\apps\Ultralight\nif\1515578179\browser\install\fs_ie_https\fs_ie_https64.dll => Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] FF HKLM\...\Firefox\Extensions: [ols@f-secure.com] - C:\Program Files (x86)\F-Secure\SAFE\apps\Ultralight\nif\1515578179\browser\install\fs_firefox_https\fs_firefox_https.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [ols@f-secure.com] - C:\Program Files (x86)\F-Secure\SAFE\apps\Ultralight\nif\1515578179\browser\install\fs_firefox_https\fs_firefox_https.xpi => nie znaleziono Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kliknij klawisz + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj (utracisz wszystkie dane z tej przeglądarki). 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik Fixlog.
  16. Mateusz, właśnie miałem pokierować jak masz zmienić to ręcznie, ale wyprzedziłeś mnie dosłownie o minutę. Widzisz, ja Ci jedynie pomagam - szukam usterki, z którą się zgłosiłeś. Przecież nie mają winą jest, że system Twój system nie działa poprawnie. Jest mi po prostu przykro, jeśli ktoś uniesionym tonem zwala całą winę na mnie. Wystarczyło poczekać te 15 minut na spokojnie, jak widzisz zawsze jestem w stanie pokierować Cię jak wycofać trefną instrukcję. Póki co wróciliśmy do punktu wyjścia, ale wiem już trochę więcej na temat tych usług. Daj mi proszę czas do jutrzejszego popołudnia, żebym przyjrzał się bardziej temu zjawisku.
  17. Mateusz, spokojnie. I wcale mnie to nie dziwi, przecież to instrukcja nie pod ten problem. Skrypt, który zadałem to: Reg: reg add "HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc" /v Start /t REG_DWORD /d 2 /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc /s Reboot: Pierwsza linijka: zmiana typu startu usługi WinHttpAutoProxySvc na automatyczny. Druga linijka: listuje mi wygląd usługi WinHttpAutoProxySvc (brak żadnych zmian). Trzecia linijka: uruchamia ponownie system. Nie przeszył więc inwazyjne zmiany. Nie wiem jaki stan był poprzednio, ale ustawię ponownie na Wyłączony (bo przypuszczalnie Automatyczny wywołuje jakiś konflikty). Zadaj w FRST następujący skrypt (przy okazji utworzę na wszelki wypadek nowy punkt przywracania): Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CreateRestorePoint: Reg: reg add "HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc" /v Start /t REG_DWORD /d 4 /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc /s Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
  18. Pomijamy ten raport. Wykonaj działania, które zaleciłem wyżej. Dodatkowo po wykonaniu tych działań dostarcz nowy przefiltrowany raport SFC z opcji sfc /scannow.
  19. Rozumiem, że możesz nie znać takich pojęć. Wytłumaczę łopatologicznie: format dysku = ponowna instalacja czystego systemu operacyjnego, na którym nie ma nic oprócz bonusów producenta / dodatków Microsoft. Warunek przy formatowaniu jest taki, że musisz posiadać płytę z systemem / obraz + klucz aktywacyjny. System został wyczyszczony z drobnych infekcji adware, pozbyliśmy się również pozycji zbędnych programów / PUP. Powiedz mi czy "wolne działanie systemu" to jedyny objaw? Pokaż log z CrystalDiskInfo. Dodatkowo dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.
  20. "C:\Windows\system32\msi.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd" = uszkodzony plik wymieniony na komunikacie. Na razie diagnostyka: Ponów SFC z tej samej opcji i dostarcz ponownie przefiltrowany raport. Dodatkowo dostarcz log FRST.
  21. Nie jestem pewny niektórych wpisów w Harmonogramie zadań. Usunę je, a pliki docelowe dam do analizy w serwisie VirusTotal. Oprócz tego: sprzątam system z resztek po oprogramowaniu. Zajmiemy się również nieaktualnymi danymi w Centrum Zabezpieczeń (Panda widnieje jako bieżący program, a zainstalowany jest ESET). Nie wiem jak to będzie miało się do połączenia - niewykluczone, że to ESET opóźnia upload. Temat po diagnostyce przeniosę do Sieci. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: ContextMenuHandlers1: [AcShellExtension.AcContextMenuHandler] -> [CC]{2E7A2C6C-B938-40a4-BA1C-C7EC982DC202} => -> Brak pliku ContextMenuHandlers1: [ESET Smart Security - Context Menu Shell Extension] -> [CC]{B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> Brak pliku ContextMenuHandlers6: [ESET Smart Security - Context Menu Shell Extension] -> [CC]{B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> Brak pliku ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [unlockerShellExtension] -> [CC]{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} => -> Brak pliku Task: {81467EC4-1201-4353-8B82-6C623B7442ED} - \DealPly -> Brak pliku Task: {B0F4DD0B-A539-4632-83E0-35F3E07A0375} - System32\Tasks\obrapquru => C:\Windows\system32\rundll32.exe "C:\Windows\system32\riched32Q.dll",Virps Task: C:\Windows\Tasks\obrapquru.job => rundll32.exe C:\Windows\system32\riched32Q.dll File: C:\Windows\system32\riched32Q.dll VirusTotal: C:\Windows\system32\riched32Q.dll HKLM\...\Policies\Explorer\Run: [14810] => c:\progra~2\mslpli.exe File: c:\progra~2\mslpli.exe VirusTotal: c:\progra~2\mslpli.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-2950158651-1325095086-3268382461-1003\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-2950158651-1325095086-3268382461-1003\...\Policies\Explorer: [HideSCAHealth] 1 SearchScopes: HKU\S-1-5-21-2950158651-1325095086-3268382461-1003 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-2950158651-1325095086-3268382461-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] S3 gdrv; \??\C:\Windows\gdrv.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zresetuj komponenty nieaktualnych danych z Centrum zabezpieczeń. Kliknij klawisz + R > Wpisz frazę services.msc > kliknij ENTER. Na liście usług odnajdź Instrumentacja zarządzania Windows > kliknij na nią > z panelu bocznego wstrzymaj jej działanie. Przejdź do lokalizacji C:\WINDOWS\system32\WBEM\Repository i skasuj jej zawartość. Ponownie przejdź do Instrumentacja zarządzania Windows i uruchom usługę. Uruchom ponownie komputer. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (wykryje komponenty KMSpico). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie brakującym Shortcut. Dołącz też plik Fixlog.
  22. Zlecone działania poprawnie wykonane, ale uzupełnij raport, o który prosi wyżej Groszek. 1. Komentując wyniki AdwCleaner: - większość detekcji dotyczy instalacji produktów IObit - to marka kontrowersyjna zamieszana w kradzież bazy danych MBAM i podejrzane powiązania reklamowe. Sugerowana deinstalacja przez Panel Sterownia. - poniżej lista detekcji nadających się do kasacji - to pozostałości adware / PUP: PUP.Optional.Legacy, C:\Users\zajec\YTDownloader PUP.Optional.Legacy, C:\Users\zajec\AppData\Roaming\Tencent Adware.pokki, C:\Users\defaultuser0\AppData\Local\Host App Service PUP.Optional.Legacy, [Value] - HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BROWSER_EMULATION | AndroidServer.exe PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\AppID\OverlayIcon.DLL PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\Interface\{7BCA6879-A9F8-47DE-AE05-F5CE7EA3A474} PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\TypeLib\{ADF1FA2A-6EAA-4A97-A55F-3C8B92843EF5} PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A38C15B2D5649AE4C9CDE19DE50DA96C PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\Installer\Features\A38C15B2D5649AE4C9CDE19DE50DA96C PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\Installer\Products\A38C15B2D5649AE4C9CDE19DE50DA96C 2. Sprawdzane usługi wyglądają w porządku, natomiast najnowsze dane z Dziennika systemu ujawniły konflikt usługi Pomoc IP: Dziennik System: ============= Error: (03/04/2018 11:44:40 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa iphlpsvc zależy od usługi WinHttpAutoProxySvc, której nie można uruchomić z powodu następującego błędu: Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Nie sprawdzałem WinHttpAutoProxySvc - chyba po prostu przeoczyłem. Liczę na to, że ta usługa rzeczywiście jest po prostu wyłączona (choć msconfig nie wskazuje na to). > Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: Reg: reg add "HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc" /v Start /t REG_DWORD /d 2 /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc /s Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. > Dostarcz plik Fixlog, sprawdź czy problem ustąpił.
  23. Wszystko zostało pomyślnie wykonane. Malwarebytes wbrew moim oczekiwaniom nie odnalazł komponentów KMSpico, ale dzięki raportowi Shortcut odnalazłem skrót do deinstalatora. Poprawki (w tym kasacja klucze wykrytego przez Malwarebytes): 1. Uruchom deinstalacje cracka KMSpico - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\Uninstall KMSpico.lnk. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: DeleteKey: HKU\S-1-5-21-3912383615-3260148415-1536492470-1001\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I C:\ProgramData\InstallShield\Update\isuspm.ini C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe C:\Users\Daga\Desktop\Pliki do zajęć\semestr IV\Zarządzanie produkcją i usługami\Solid Edge 2D Drafting.lnk C:\Users\Daga\Desktop\Pliki do zajęć\semestr IV\ang\Cutting Edge Third Edition Intermediate DVD-ROM.lnk C:\Users\Daga\Desktop\Pliki do zajęć\semestr III\Procesy i techniki produkcyjne\Działania Macierzowe.lnk C:\Users\Daga\Desktop\Pliki do zajęć\niepotrzebne semestr II\notatki inf\Free Pascal IDE.lnk S3 dbx; system32\DRIVERS\dbx.sys [X] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Na koniec zastosuj DelFix (kasacja używanych narzędzi, zostanie usunięty również Fixlog) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
  24. No to namieszałeś, bo wszystkie te działania były bezsensu, skoro i tak zamierzasz sformatować dysk. Format dysku = wymagana będzie ponowna instalacja systemu, a więc czystego systemu bez żadnych modyfikacji zewnętrznych. Co robimy dalej?
  25. Brakuje raportu Shortcut - dostarczysz go w następnym poście. W Harmonogramie zadań widoczne są wpisy PUP.Optional.PrxySvrRST. Przypuszczalnie to one doprowadziły do złej konfiguracji proxy (= brak dostępu do Internetu). Podobny temat: KLIK. Po za tym widać lewy aktywator KMSpico, ale nie można odinstalować go przez Panel Sterowania (brak wejścia deinstalatora). Skrypt obejmie wyzerowanie ustawień Proxy, a także kasacje w/w wpisów i resztek po oprogramowaniu (w tym systemowy kosz). Czyszczę również Dziennik Zdarzeń. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File Task: {DC903D2F-56F4-4A5C-89B3-D0A85C4F7EA6} - System32\Tasks\Optimize Thumbnail Cache Files => wscript.exe //nologo //E:jscript //B "C:\ProgramData\InstallShield\Update\isuspm.ini" Task: {FB5E85EC-E708-42F4-A0B6-758E07DF3E66} - System32\Tasks\InstallShield® Update Service Scheduler => C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe [2017-10-07] (InstallShield®) File: C:\ProgramData\InstallShield\Update\isuspm.ini File: C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe VirusTotal: C:\ProgramData\InstallShield\Update\isuspm.ini VirusTotal: C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction RemoveProxy: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (wykryje komponenty KMSpico). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik Fixlog.
×
×
  • Dodaj nową pozycję...