Miszel03

Raporty nie wykazują oznak infekcji. Zajmiemy się doczyszczeniem odpadków infekcji adware. Wyczyszczę również całą gałąź Dziennika zdarzeń, byśmy mieli jak najbardziej aktualne dane z niego. Pobieram również dane z klucza usługi Pomoc IP oraz ze wszystkich usług zależnych. Jeśli zauważymy w nich nieprawidłowości / uszkodzenia (a spodziewam się kompletnej dewastacji) to przystąpimy do rekonstrukcji. 1. Przez Panel Sterowania sugeruję odinstalować lewy aktywator / crack: KMSpico, FIFA18 version 1.0. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {1BF57B03-9CF9-4A30-8B31-DEF51095A37B} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {38BBBDF1-3AD7-4CB5-88BC-AAE6B0B9B5D5} - System32\Tasks\{7E92561E-37C7-4CB1-A5F4-41530F4E8338} => C:\Windows\system32\pcalua.exe -a F:\Setupx.exe -d F:\ AlternateDataStreams: C:\Users\Public\DRM:احتضان [48] HKU\S-1-5-21-2615426270-3614624628-3542541473-1001\...\MountPoints2: {03c916f9-e428-11e7-a23b-945330c7f368} - "E:\autorun.exe" HKU\S-1-5-21-2615426270-3614624628-3542541473-1001\...\MountPoints2: {ce74abe5-e987-11e6-a168-945330c7f368} - "F:\AUTORUN.EXE" GroupPolicy: Ograniczenia HKU\S-1-5-21-2615426270-3614624628-3542541473-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.360.cn/?src=lm&ls=n4134a09b9b Edge HomeButtonPage: HKU\S-1-5-21-2615426270-3614624628-3542541473-1001 -> hxxp://hao.360.cn/?src=lm&ls=n4134a09b9b SearchScopes: HKU\S-1-5-21-2615426270-3614624628-3542541473-1001 -> DefaultScope {D96EFF77-6121-4A9C-B521-D63FF5805896} URL = SearchScopes: HKU\S-1-5-21-2615426270-3614624628-3542541473-1001 -> {D96EFF77-6121-4A9C-B521-D63FF5805896} URL = S3 NvStreamKms; Brak ImagePath Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\iphlpsvc /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\winmgmt /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\nsi /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\RpcSs /s Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner z opcji Skanuj, nie stosuj jeszcze Oczyść. Dostarcz raport z tego działania. 4. Przedstaw plik Fixlog oraz nowy log Addition (będę miał wgląd do najnowszych danych z Dziennika zdarzeń). Czy SFC zwrócił komunikat o istniejących naruszeniach? Naprawił je, czy może nie był w stanie?

Rozumiem, że z poziomu system nie możesz pobrać narzędzia Farbar Recovery Scan Tool? Czy jesteś w stanie pobrać FRST na innym urządzeniu i przenieść je za pomocą pendrive na zainfekowany system? Po takiej operacji pendriva należy sformatować, by uniknąć ewentualnemu rozprzestrzenieniu się infekcji.

No właśnie w tym rzecz. Nie można zakładać dwóch równoległych tematów, a już na pewno nie bez wyraźnego poinformowania o tym dwóch stron. Na szybko: nie wiem co to za forum (podaj link do tematu), ale jak sam zauważyłeś został Ci tylko zalecony skrypt, bez żadnego wytłumaczenie co gdzie i jak. Poza tym nawet sam skrypt został źle skonstruowany (nie można usuwać komponentów aplikacje metodą siłową - to robi ogromny bałagan, aby pozbyć się danej aplikacji należy ją po prostu odinstalować). W przeglądarce zostało zaś pominięte adware zainstalowane z poziomu rejestru. W porządku. Skrypt zaktualizowałem w oparciu o nowe raporty, doczyszczenia i poprawki (zagrożenia wykryte przez Malwarebytes zostaną również usunięte skryptem): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteKey: HKU\S-1-5-18\SOFTWARE\AskPartnerNetwork DeleteKey: HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I C:\PROGRAMDATA\APN C:\USERS\HENIA B 3\DOWNLOADS\ANY-VIDEO-CONVERTER(13038).EXE C:\USERS\HENIA B 3\DOWNLOADS\ANY-VIDEO-RECORDER(36948).EXE C:\USERS\HENIA B 3\DOWNLOADS\FREERAPID-DOWNLOADER(17123).EXE C:\USERS\HENIA B 3\DOWNLOADS\WINAMP5623_FULL_EMUSIC-7PLUS_PL-PL.EXE C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: G - G:\HiSuiteDownLoader.exe HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: {807bd874-a746-11e6-aed0-90a4dea7f836} - G:\HiSuiteDownLoader.exe HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: {d9adf70a-97ad-11e7-b08d-90a4dea7f836} - H:\startme.exe FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.9.0.230 => nie znaleziono FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] CHR HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx S3 clwvd; system32\DRIVERS\clwvd.sys [X] R4 IDSVia64; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\IPSDefs\20101201.001\IDSVia64.sys [X] R4 SRTSPX; \SystemRoot\system32\drivers\NISx64\1206000.01D\SRTSPX64.SYS [X] R4 SymDS; system32\drivers\NISx64\1206000.01D\SYMDS64.SYS [X] R4 SymEFA; system32\drivers\NISx64\1206000.01D\SYMEFA64.SYS [X] R4 SymEvent; \??\C:\windows\system32\Drivers\SYMEVENT64x86.SYS [X] CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Napisz jak podsumowujesz obecną sytuację.

Fix pomyślnie wykonany. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Z mojej strony to tyle, teraz sugeruję poczekać na odpowiedź moderatora Hardware. Spróbuj użyć więc dedykowanego deinstalatora McAfee Consumer Product Removal (MCPR) (z poziomu Trybu awaryjnego).

Malwarebytes nie wykrył zagrożeń. To by było na tyle. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Akcja pomyślnie wykonana, sekcja Proxy wyzerowana. Cieszę się, że mogłem pomóc. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

AdwCleaner naruszył ustawienia proxy na siłę usuwając komponenty infekcji adware PUP.Optional.PrxySvrRST. Efekt: niemożność użytkowania Internetu, pomimo, że ten jest wykrywalny przez system. Wyczyszczę sekcje proxy, a Internet powinien ponownie zacząć działać poprawnie. Przy okazji sprzątam resztki po przeglądarce Mozilla FireFox. 1. Przez Panel Sterowania odinstaluj lewy aktywator: KMSpico. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: AlternateDataStreams: C:\Users\Public\AppData:CSM [470] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\jvras\AppData\Local\Mozilla C:\Users\jvras\AppData\Roaming\Mozilla C:\Users\jvras\AppData\Roaming\Profiles RemoveProxy: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Cześć okmichall, czasem zdarza się, że przeoczę temat. Dziękuję, że przypomniałeś się w temacie Zgłaszania tematów bez odpowiedzi i uzupełniłeś raporty. Najpierw wyczyścimy system ze zbędnego oprogramowania, a także drobnych infekcji adware. Czeka nas również kompleksowa aktualizacja programów, gdyż niektóre wersje są mocno archaiczne. Po tym przyjrzymy się z osobna ostałym problemom. Akcja: 1. Przez Panel Sterownia odinstaluj: zbędne i uciążliwe paski narzędzi / wyszukiwarek: AVG Security Toolbar, Search App by Ask. oprogramowanie zainstalowane drogą sponsorską: McAfee Security Scan Plus. przestarzałe wersje: TuneUp Utilities 2012 wersja 12.0.3600.104. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {01DA06A9-7C16-4784-9BDE-00E905E4002F} - \Program aktualizacji online firmy InstallShield Software. -> Brak pliku Task: {471FD5DF-C7EF-4DDA-A44F-BAED2C24C105} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {3568ED08-368B-4843-B63E-F14CA1B4E9D3} - System32\Tasks\SvcDelay => C:\windows\temp\SvcDelay.exe Task: {927640FD-7C29-412B-8798-309662540E70} - System32\Tasks\{07F6730D-47BA-4F6F-9A48-DDABFAAE9455} => C:\windows\system32\pcalua.exe -a "C:\Users\Henia B 3\AppData\Local\Temp\Temp1_FreeRapid-0.9(dobreprogramy.pl).zip\FreeRapid-0.9\frd.exe" HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: G - G:\HiSuiteDownLoader.exe HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: {807bd874-a746-11e6-aed0-90a4dea7f836} - G:\HiSuiteDownLoader.exe HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: {d9adf70a-97ad-11e7-b08d-90a4dea7f836} - H:\startme.exe IFEO\taskmgr.exe: [Debugger] FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.9.0.230 => nie znaleziono FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] CHR HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware SMSfromBrowser, a także upewnij się, że nie widnieje już tam Ask Search oraz wszystkie inne nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tak myślałem. Ten komunikat przypuszczalnie nawet nie był permanentny, to coś w rodzaju tymczasowego "straszaka", to raczej nie jest popularny kilka lat temu Weelsof integrujący w system. Wyzerujemy obecny profil (utracisz z niej wszystkie dane, jeśli potrzebne to wyeksportuj zakładki) w przeglądarce Mozilla Firefox (rozumiem, że to przez tą przeglądarkę doszło do tej sytuacji?) i przeprowadzimy skan antywirusowy. 1. Kliknij klawisz + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Posty związane z dostarczeniem poprawnych raportów stąd kasuję. Przechodzę do odpowiedzi: Wytłuszczonym tekstem zaznaczyłem fragmenty, które mogą świadczyć o uszkodzeniu / niepoprawnym działaniu sprzętu. Temat przenoszę więc do działu Hardware, gdzie zajmie się nim moderator Groszexxx. Do diagnostyki w dziale Sprzętu z pewnością wymagane będą dane, nie wiem jakie konkretnie się przydadzą, ale na pewno trzeba skontrolować stan dysku - dostarcz raport z zakładki System Summary w HWINFO oraz CrystalDiskInfo. Oczywiście, sprawdziłem raporty systemowe, ale ja tutaj nie widzę oznak infekcji. Doczyszczenia do wykonania (+ pobór danych o jednym pliku) zadaję do spoileru. AV: McAfee Anti-Virus and Anti-Spyware (Disabled - Up to date) {8BCDACFA-D264-3528-5EF8-E94FD0BC1FBC} AV: Avira Antivirus (Enabled - Up to date) {B3F630BD-538D-1B4A-14FA-14B63235278F} Dwa pakiety zabezpieczające to nie jest dobry pomysł - masa konfliktów i dublowania akcji. Zrezygnuj z jednego.

Shark, nie widzę oznak infekcji w raportach. Proszę powiedz mi czy ten komunikat widoczny jest z poziomu systemu czy z poziomu przeglądarki? To dwa różne warianty, ten drugi jest niewidoczny z poziomu raportów, gdyż to raczej wariant tymczasowy siedzący w tymczasowej pamięci przeglądarki.

Posty łącze. Czysty rozruch to rozruch diagnostyczny, nie może być pod żadnym pozorem używany domyślnie! Skoro podczas czystego rozruchu wszystko jest w porządku to problemu trzeba szukać w zainstalowanym oprogramowaniu zewnętrznym. OK.

Ten sam temat na innym forum Proszę nie zakładać dwóch równoległych tematów, gdyż po prostu pomagający tracą czas analizując raporty podwójnie! To naprawdę jest nieuczciwa zagrywka w stosunku do nas. Temat zamykam.

Jeszcze tylko przypomnę to co pisałem na początku: proszę zmienić prewencyjnie hasła we wszystkich serwisach logowania.

Te raporty mi wystarczą. Chodzi tylko, abyś sprawdził czy system podczas tzw. czystego rozruchu również wolno się uruchamia.

- Norton Power Eraser "Error getting system path" oznacza brak detekcji systemu operacyjnego (czyli jakby dysk nie rozpoznany). Nic konkretnego na Google poza wzmianką, że ten błąd może występować na konfiguracjach RAID. Nie przejmowałbym się tym. - Narzędziem McAfee również bym się nie zamartwiał, bo i tak prawie nic nie ma od McAfee w logu, tylko drobne foldery na dysku, co można usunąć ręcznie. Apropo: końcowe doczyszczenie pustych wpisów: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: HKLM-x32\...\Run: [Tv-Plug-In] => "C:\Program Files (x86)\Tv-Plug-In\Tv-Plug-In.exe" nogui S2 NVDisplay.ContainerLocalSystem; "C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" -s NVDisplay.ContainerLocalSystem -f "C:\ProgramData\NVIDIA\NVDisplay.ContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem" Task: {10B9610D-6120-42A6-9368-5B5EE5B32790} - System32\Tasks\Opera scheduled Autoupdate 1517600403 => C:\Users\Lenovo\AppData\Local\Programs\Opera\launcher.exe Task: {2C06C318-6968-41A0-A259-C570959052ED} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {9381AFF5-53C9-4898-A0FE-9E2F7DDD5F72} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe Task: {A5F19CED-1163-4D9E-90DC-FCCA16A3C9A1} - System32\Tasks\BlockchainResearchToolsSvc => C:\Program Files (x86)\BRTSvc\BRTSvc.exe 2018-02-02 20:39 - 2018-02-03 20:53 - 000000000 ____D C:\Program Files (x86)\McAfee 2018-02-02 20:39 - 2018-02-02 20:39 - 000000000 ____D C:\ProgramData\McAfee Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz go już dostarczać. Tak - instalacja powinna odbyć się z poziomu Trybu awaryjnego. Skoro nic nie jest już wykrywane, a nie zgłaszasz żadnych problemów to będziemy kończyć. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Pokaż nowy zestaw raportów FRST. Dodatkowo sprawdź czy system uruchamia się wolno także podczas czystego rozruchu.

Rozumiem, że nie masz już żadnych pytań / uwag. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Temat zamykam.

1. Fix poprawkowy pomyślnie wykonany. Raporty wyglądają już w porządku. 2. Detekcje Malwarebytes nadają się do kasacji - to drobne odpadki PUP. To złośliwa strona (z tego co wiem, to nie informuje użytkowników o kopaniu), która ma zintegrowaną koparkę kryptowalut. ESET poprawnie zareagował na zagrożenia, a może nie tyle na zagrożenie co na niepożądane działanie (mógł nastąpić skok zużycia zasobów komputera). Do konkretnej infekcji systemu raczej nie doszło, gdyż to typ koparki przeglądarkowej. Proszę zablokować stronę w oprogramowaniu ESET. Sugeruję również wyposażyć się w rozszerzenie blokujące takie skrypty w przeglądarce. Czy masz jeszcze jakieś pytania / uwagi?

Akcja pomyślne wykonana. Skan MBAM potwierdził to co napisałem wcześniej - brak oznak infekcji. Czy po pozbyciu się rozwiązania Avast! omawiany problem nadal występuję?

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Ayh, raporty nie wykazują oznak infekcji. Poniżej zadaję działania poboczne do wykonania - kasacja martwych wpisów, skrótów / resztek po oprogramowaniu (m.in po przeglądarce Mozilla FireFox) oraz kompleksowy skan antywirusowy. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackTrayMenu.lnk C:\Users\ja\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia ShortcutTarget: CodecPackTrayMenu.lnk -> C:\Windows\SysWOW64\Codecs\TrayMenu.exe (Brak pliku) HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx CHR HKU\S-1-5-21-3991928589-2277646456-2872176512-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ja\AppData\Local\Mozilla C:\Users\ja\AppData\Roaming\Mozilla C:\Users\ja\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Gdzie zostały wykryte zagrożenia? Czy była podana lokalizacja? Sugeruję odinstalować oprogramowanie Avast! korzystając z dedykowanego deinstalatora z poziomu Trybu awaryjnego (klik w klawisz F8 przed startem systemu) i sprawdzić czy problem nadal będzie występował. Po za tym Avast sypie błędami: Date: 2016-08-16 21:16:32.850 Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume3\Windows\System32\drivers\aswKbd.sys because the set of per-page image hashes could not be found on the system.

Satanek10, proszę o dostosowanie tematu do zasad działu. Narzędzie OTL jest przestarzałe i nierozwijane, a więc nie skuteczne. Proszę użyć nowoczesnego narzędzia generującego raporty systemowe - FRST - opisanego w sekcji zasad. Komentując detekcje Malware to nie jest to nic poważnego - drobne detekcje adware / PUP w plikach przeglądarki. Akcja wybrana prawidłowo.

Detekcja JS/CoinMiner.B wskazuję na koparkę kryptowaluty. Czy na komunikacie dostępna jest lokalizacja detkecji? Z doświadczenia wiem, że taka detekcje występowała w trakcie odwiedzania stron uruchamiających skrypt (JS - JavaScript) w przeglądarce. Czy mam rację? Jaka to konkretnie przeglądarka i podczas odwiedzania jakich witryn uruchamia się alerty? W raportach nie widać nic ciekawego, jedyne podejrzane wejście to rozszerzenie przeglądarki Google Chrome instalowane z poziomu rejestru, którego nie mogę znaleźć w oficjalnym sklepie rozszerzeń Google Chrome. Przejdę do jego usuwania, a przy okazji posprzątam system z resztek po oprogramowaniu / martwych wpisów / skrótów. Akcja: 1. Uruchom FRST. Z klawiatury , zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3341794620-3984477988-2094677003-1001\...\Run: [AdobeBridge] => [X] GroupPolicy: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia Handler: WSKVAllmytubechrome - Brak wartości CLSID CHR HKU\S-1-5-21-3341794620-3984477988-2094677003-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx S3 WsDrvInst; "C:\Program Files (x86)\Keepvid\KeepVid Pro\DriverInstall.exe" [X] S3 AthBTPort; \SystemRoot\system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; \SystemRoot\system32\drivers\btath_a2dp.sys [X] S3 btath_avdt; \SystemRoot\system32\drivers\btath_avdt.sys [X] S0 BTATH_BUS; System32\drivers\btath_bus.sys [X] S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; \SystemRoot\System32\drivers\btath_rcp.sys [X] ContextMenuHandlers1: [Atheros] -> {B8952421-0E55-400B-94A6-FA858FC0A39F} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Passware\Asterisk Key.lnk C:\Users\Mateusz\Documents\Adobe\After Effects CC 2015\User Presets\(Adobe).lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Illustrator CC 2015.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Photoshop CC 2015.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik Fixlog.

Czy zostały wykryte jakieś zagrożenia? Jeśli tak poproszę o raport. Po za tym proszę wygenerować raporty zgodnie z naszymi zaleceniami. Niepoprawne raporty kasuję.