Miszel03

W porządku. Trudno skomentować te detekcje, ale nie wygląda to na nic poważnego. - not-a-virus:RiskTool.Win32.FusionCore.d - ta detekcje prowadzi do lokalizacji tymczasowej. Wyczyść cały folder C:\Users\Sony\AppData\Local\Temp i sprawdź efekty ponownym skanem. To wygląda na jakąś pozostałość. - not-a-virus:AdWare.Win32.OpenCandy.db - detekcja prowadzi do lokalizacji programu Solidworks, pytanie czy to zintegrowane adware. Myślę jednak, że możesz dać go do kasacji. Powiedz czy masz jeszcze jakieś pytania? Jakie problemy obecnie chcesz rozwiązać?

Nie mam pojęcia jak to się stało, że nie zauważyłem tego tematu (być może dla tego, że nie moderuje tego działu). Poproszę o zestaw raportów FRST oraz dodatkowo log z narzędzia Farbar Service Scanner (FSS).

Hm, z poziomu jakiego trybu uruchomiłeś oba narzędzia? Tymczasowo zamień Norton Power Eraser na Zemana AntiMalware Free. Podobnie jak wcześniej - jeśli coś zostanie wykryte to nic nie usuwaj, a dostarcz raport.

Raporty nie wykazują oznak infekcji, zadam kosmetykę (kasacja martwych wpisów / skrótów) do wykonania oraz dodatkowo skan antywirusowy - to wszystko zamykam do spoilera. P.S: Instalacja rozszerzenia Trustnav Safesearch w przeglądarce Google Chrome jest celowa? Co to dokładnie oznacza? Proszę podać konkretne przykłady niepożądanych zachowań. Na początek poproszę o raport z zakładki System Summary w HWINFO oraz CrystalDiskInfo, dostarcz również przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.

Integralność Windows w porządku i wygląda na to, że dyski również. Hm...Nie wydaję mi się, by to powodowała aktywna infekcja. Zrób skan za pomocą Kaspersky Virus Removal Tool (KVRT). Jeśli nic nie zostanie wykryte to przeinstaluj oprogramowanie MBAM.

Całość pomyślnie wykonana. Wygląda na to, że infekcja zdjęta, ale jeszcze powstrzymaj się z logowaniem do serwisów / transakcjami. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: C:\ProgramData\Microsoft\Windows\GameExplorer\{38292D30-802C-45A4-A3BF-B1D4BB5D4C03}\SupportTasks\0\Spore.com.lnk File: C:\Users\Lenovo\Documents\MOOBBA5.tmp C:\ProgramData\ByteFence CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Lenovo\AppData\Local CMD: dir /a C:\Users\Lenovo\AppData\LocalLow CMD: dir /a C:\Users\Lenovo\AppData\Roaming Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zastosuj McAfee Consumer Product Removal (MCPR) w celu pozbycia się resztek po wcześniejszej instalacji produktów McAfee. 3. Uruchom Norton Power Eraser. Wybierz Scan for Risk. Rozpocznie się skanowanie poprzedzone restartem, czekaj cierpliwie, nie przerywaj go. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz zrzut ekranu, na którym widać zagrożenia.

A gdzie raporty, o które prosiłem w pkt. 5?

To definitywnie infekcja Trojan.Netwird (rozpoznałem w oparciu o budowę infekcji), ale widoczny jest również niecieszący się dobrą renomą ByteFence, który zostanie odinstalowany. Skrypt ściągnie założone przez infekcje blokady aplikacji zabezpieczających i widoczny plik tej gadziny. Niestety nie jestem w stanie przeprowadzić całościowej dezynfekcji ręcznie, gdyż oprócz charakterystycznych kluczy / plików Trojan tworzy również losowo generowane lokalizacje. Oprócz tego czyszczę system z resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox i kasuje martwe wpisy / skróty / opróżniam systemowy kosz. Na zakończenie (a najlepiej zrobić to na urządzeniu, na którym na pewno nie ma infekcji) wymagana jest prewencyjna zmiana hasła we wszystkich serwisach logowania (gdyż Trojan zdolny jest je wykraść - toteż świadczy o tym, że nie powinny być prowadzone na tym urządzeniu żadne logowania / transakcje do czasu uznania systemu za czysty). Z POZIOMU TRYBU AWARYJNEGO: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers1: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => C:\Program Files (x86)\AVG\AVG PC TuneUp\SDShelEx-x64.dll -> Brak pliku ContextMenuHandlers4: [AVG Disk Space Explorer Shell Extension] -> {4838CD50-7E5D-4811-9B17-C47A85539F28} => C:\Program Files (x86)\AVG\AVG PC TuneUp\DseShExt-x64.dll -> Brak pliku ContextMenuHandlers4: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => C:\Program Files (x86)\AVG\AVG PC TuneUp\SDShelEx-x64.dll -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {192C872A-4291-4519-BCEB-DA9FE84A28EC} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku IFEO\avcenter.exe: [Debugger] nsjw.exe IFEO\avgsvca.exe: [Debugger] nsjw.exe IFEO\avguard.exe: [Debugger] nsjw.exe IFEO\avguix.exe: [Debugger] nsjw.exe IFEO\avp.exe: [Debugger] nsjw.exe IFEO\bdagent.exe: [Debugger] nsjw.exe IFEO\ccuac.exe: [Debugger] nsjw.exe IFEO\ComboFix.exe: [Debugger] nsjw.exe IFEO\egui.exe: [Debugger] nsjw.exe IFEO\hijackthis.exe: [Debugger] nsjw.exe IFEO\keyscrambler.exe: [Debugger] nsjw.exe IFEO\mbam.exe: [Debugger] nsjw.exe IFEO\McSACore.exe: [Debugger] nsjw.exe IFEO\MpCmdRun.exe: [Debugger] nsjw.exe IFEO\MSASCui.exe: [Debugger] nsjw.exe IFEO\MSASCuiL.exe: [Debugger] nsjw.exe IFEO\MsMpEng.exe: [Debugger] nsjw.exe IFEO\msseces.exe: [Debugger] nsjw.exe IFEO\saUI.exe: [Debugger] nsjw.exe IFEO\spybotsd.exe: [Debugger] nsjw.exe IFEO\TuneUpUtilitiesApp64.exe: [Debugger] nsjw.exe IFEO\TuneUpUtilitiesService64.exe: [Debugger] nsjw.exe IFEO\wireshark.exe: [Debugger] nsjw.exe IFEO\zlclient.exe: [Debugger] nsjw.exe C:\Users\Lenovo\AppData\Roaming\msconfig.ini BHO: McAfee WebAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll => Brak pliku BHO-x32: McAfee WebAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll => Brak pliku Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll Brak pliku S2 TuneUp.UtilitiesSvc; "C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesService64.exe" [X] S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [X] S3 mfesapsn; \??\C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [X] S2 McAfee SiteAdvisor Service; "C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe" [X] C:\Users\Lenovo\Desktop\Assassins Creed IV - Black Flag.lnk C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\McAfee WebAdvisor.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Lenovo\AppData\Local\Mozilla C:\Users\Lenovo\AppData\Roaming\Mozilla C:\Users\Lenovo\AppData\Roaming\Profiles CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przejdź do lokalizacji C:\Program Files\ByteFence i z jej poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Wszystkie detekcje przenieś do kwarantanny. Koniecznie dostarcz raport z tej akcji. 4. Dostarcz raport Farbar Service Scanner (FSS). 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik Fixlog.

Tylko co z czasem osób, które zdecydują się rozpisać profesjonalne instrukcje, a okaże się, że było to niepotrzebne, bo zrezygnowałeś z danego forum? W takim razie czekam na raporty, rozumiem, że z tamtego forum zrezygnowałeś - powiadom o tym, by nikt nie zaczął prowadzić pomocy na marne.

Rozumiem, że proces aktualizacji systemu był prowadzony do wyniku zero odnalezionych aktualizacji ważnych i opcjonalnych (oczywiście z pominięciem pakietów językowych)?. Raporty nie wykazują oznak infekcji, w przeglądarce Google Chrome widoczne jest tylko rozszerzenie SciHub, które jest oflagowane przez FRST: CHR Extension: (Sci-Hub) - C:\Users\Sony\Desktop\Sci-Hub [2017-12-08] [UpdateUrl: hxxps://sci-hub.tw/update] <==== UWAGA Podejrzewam, że to sprawa niedomyślnej lokalizacji rozszerzeń (z tego co widzę to wyszukiwarka prac naukowych). Pytanie czy to Twoja celowa instalacja? Komentując zaś resztę problemów, poproszę o: 1. Raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows. 2. Raport z zakładki System Summary w HWINFO oraz CrystalDiskInfo.

Założyłeś temat na innym forum bez powiadomienia. Zresztą, tamte "porady" to nawet trudno skomentować (niepotrzebne działania - to problem infekcji). Jeśli zdecydujesz się na nasze forum to przejdź do Trybu awaryjnego z dostępem do Sieci i spróbuj wykonać raporty FRST.

Wszystko jest przecież opisane krok w o kroku: Raport obowiązkowy dołączany do każdej prośby o pomoc

Posty moderacyjne dot. poprawności raportów kasuję, by nie robić zamieszania. Raporty nie wykazują oznak infekcji. SteamServerBrowser to autentyczny komponent instalacji Steam. BitDefender wygenerował fałszywy alarm. Sugeruję dodać tą detekcję do wyjątków (= brak powiadomień) / zgłosić producentowi. W spoilerze zdaję działania poboczne do wykonania, czysto kosmetyczne: kasacja martwych wpisów / skrótów / resztek po oprogramowaniu.

Czas najwyższy się za to zabrać, ale proszę wykonywać to bardzo ostrożnie. Temperatury są już nie najlepsze. Ale to po dezynfekcji. CRITICAL_PROCESS_DIED to bardzo ogólny błąd i nie potrafię na podstawie tego postawić konkretnej przyczyny (a to pokazać by mógł zrzut pamięci). Najczęściej jednak dotyczy on problematycznych sterowników. Wszystkie trzeba uaktualnić. Szczególnie ten: ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Deskjet F4500 series Description: Deskjet F4500 series Class Guid: {4d36e971-e325-11ce-bfc1-08002be10318} Manufacturer: HP Service: Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Deskjet F4500 series Description: Deskjet F4500 series Class Guid: {6bdd1fc6-810f-11d0-bec7-08002be2092f} Manufacturer: HP Service: StillCam Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Gdy to zostanie zrobione i BSoD ustąpi: Jest OK, teraz doczyszczenia: 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Ręcznie za pomocą klawiszy SHIFT + DELETE skasuj: C:\ProgramData\Mail.Ru C:\Users\Tom\AppData\Local\Mail.Ru C:\Users\Tom\AppData\Roaming\EvuyXJiab.bat C:\Program Files (x86)\Common Files\oDilKaTEO.bat 3. Wykonaj drugą metodę usuwania niezgodnych danych w Centrum zabezpieczeń (chodzi o Avire). Wydaję mi się, że metoda powinna zaaplikować się na Windows 10. 4. Napisz jak podsumowujesz obecny stan systemu, czy problem związany z przeglądarkami ustąpił?

Zaszyfruje. Ale ja mówię o kopiach zapasowych przetrzymywanych poza systemem.

Raporty nie wykazują oznak infekcji. To prawdopodobnie któraś z zainstalowanych aplikacji wykonuje aktualizację / inną akcję przy starcie. Temat przenoszę do działu Windows 10, gdzie ewentualnie będzie prowadzona dalsza pomoc.

Proszę zapoznać się z zasadami działu. Post wydzielam w nowy temat, gdyż postawiona reguła jest jasna: jeden problem = jeden temat. Raporty kasuje, ponieważ mają być bez dat, czyli z miejsca, z którego został uruchomiony FRST, a nie z archiwalnego C:\FRST. Brak dat jest istotny, ponieważ potwierdza, że nie ma nowszych raportów.

Cerber to tylko jeden z całej puli, a przecież nieprzerwanie powstają nowe. Infekcje szyfrujące są ostatnio bardzo modne wśród cyberprzestępców, gdyż przynoszą zyski (i to nie małe!). Proszę skorzystać z naszego autorskiego zestawienia aplikacji zabezpieczających. Jeśli pojawią się wątpliwości to sugeruję założyć temat w dziale Oprogramowanie zabezpieczające. Najlepszą ochroną przeciwko oprogramowaniu typu Ransomware jest wykonywanie regularnych kopii zapasowych danych. Oprócz tego osobiście polecam rozwiązania Kaspersky (w tym wersję Free).

Sugeruję po prostu czekać w nadziei, że kiedyś pojawi się dekoder, choć szanse na to są naprawdę nikłe. Zapytam jeszcze picasso, ale myślę, że jej odpowiedź pokryję się z moją.

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Podsumuj obecny stan systemu. Czy omawiane problemy ustąpiły?

AVG powodował już kiedyś taki problem, ale coś nie mogę znaleźć tego tematu. Sugeruję wymienić go na inne oprogramowanie zabezpieczające. Raporty nie wykazują oznak infekcji, a co za tym idzie temat przenoszę do działu Windows 10, gdzie będzie prowadzona dalsza pomoc. W spoilerze zadaję drobną kosmetykę do wykonania (kasacja martwych wpisów / zanieczyszczonego pliku Hosts / resztek po oprogramowaniu, m.in po przeglądarce Mozilla FireFox). Usługa Windows Search jest włączona? Sprawdź to. 1. Kliknij klawisz + R > wpisz frazę services.msc i kliknij ENTER > na liście usług odnajdź Windows Search > z prawokliku Właściwości > w sekcji Typ uruchomienia zmień na Automatyczny > kliknij Zastosuj i OK. 2. Zrestartuj system i sprawdź efekty.

Temat przenoszę do działu Windows 10. Dział Pomocy doraźnej służy do leczenia zainfekowanych platform Microsoft. Poczekaj na moderatora działu Hardware, gdyż z tego co wiem jest on dobrze obeznany w zakresie reanimacji utraconych danych.

Nadal żadnych danych w folderze zrzutów pamięci? Raczej nie możemy iść dalej, póki nie ustalimy przyczyny, gdyż BSoD ma priorytet i może oznaczać poważne uszkodzenia (a wykonywana dezynfekcja może się na nie nałożyć). W przypadku kolejnego wystąpienia proszę albo zapisać jego treść albo wykonać zdjęcie i załączyć je.

Proszę wygenerować raporty zgodnie z naszymi wytycznymi.

W takim razie rzeczywiście kontakt z dostawcą wydaję się być dobrym posunięciem.