-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
Nie mam pojęcia jak to się stało, że nie zauważyłem tego tematu (być może dla tego, że nie moderuje tego działu).
Poproszę o zestaw raportów FRST oraz dodatkowo log z narzędzia Farbar Service Scanner (FSS).
-
Hm, z poziomu jakiego trybu uruchomiłeś oba narzędzia?
Tymczasowo zamień Norton Power Eraser na Zemana AntiMalware Free. Podobnie jak wcześniej - jeśli coś zostanie wykryte to nic nie usuwaj, a dostarcz raport.
-
Raporty nie wykazują oznak infekcji, zadam kosmetykę (kasacja martwych wpisów / skrótów) do wykonania oraz dodatkowo skan antywirusowy - to wszystko zamykam do spoilera.
P.S: Instalacja rozszerzenia Trustnav Safesearch w przeglądarce Google Chrome jest celowa?
1. Przez Panel Sterownia odinstaluj zbędny: Akamai NetSession Interface.
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses: CreateRestorePoint: Task: {67A1B702-AFF1-44AA-8B67-F626B2B2A92B} - System32\Tasks\{7BE831AA-9B66-4A26-999A-B80DA408ABE9} => C:\Windows\system32\pcalua.exe -a C:\Users\Piotrek\AppData\Local\Temp\jre-8u161-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 ContextMenuHandlers1: [uAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => D:\Panda\PSUAShell.dll -> Brak pliku ContextMenuHandlers5: [uAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => D:\Panda\PSUAShell.dll -> Brak pliku ContextMenuHandlers6: [uAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => D:\Panda\PSUAShell.dll -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\Software\Classes\.scr: scrfile => HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\Run: [*LABAL*] => [X] HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\Run: [Reflector2] => [X] HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\Policies\Explorer: [] HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\MountPoints2: {711b9b22-c8c0-11e7-a69b-74e6e215b741} - I:\setup.exe HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] U4 nxpcap; Brak ImagePath U4 nxsshd; Brak ImagePath U4 nxusbd; Brak ImagePath U4 nxusbh; Brak ImagePath U4 nxusbs; Brak ImagePath C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QCG-Icon.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Winamp\Co nowego.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Winamp\Odinstaluj Winampa.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Winamp\Winamp.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Virtual CD v10\API Documentation.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Virtual CD v10\Virtual CD v10.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2014 — Polski (Polish)\Dołącz podpisy cyfrowe.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2014 — Polski (Polish)\Menedżer odnośników.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2014 — Polski (Polish)\Narzędzie transferu licencji — AutoCAD 2014.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2014 — Polski (Polish)\Przywróć ustawienia domyślne.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2014 — Polski (Polish)\Wsadowy kontroler standardów.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2014 — Polski (Polish)\Migracja ustawień niestandardowych\Eksportuj ustawienia programu AutoCAD 2014.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2014 — Polski (Polish)\Migracja ustawień niestandardowych\Importuj ustawienia programu AutoCAD 2014.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2014 — Polski (Polish)\Migracja ustawień niestandardowych\Migracja z poprzedniej wersji.lnk C:\Users\auto\Desktop\FullRecall.lnk C:\Users\Piotrek\Links\Targi Pracy 2017.lnk C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OriginLab\Origin 2017\Autosave.lnk C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Detektor Winampa\Odinstaluj Detektor Winampa.lnk C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Winamp.lnk C:\Users\Public\Desktop\Winamp.lnk CMD: dir /a C:\Windows\system32\tmp00005c3c Folder: C:\Windows\system32\tmp00005c3c EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
Od pewnego czasu mam problem z płynną pracą komputera.
Co to dokładnie oznacza? Proszę podać konkretne przykłady niepożądanych zachowań.
Na początek poproszę o raport z zakładki System Summary w HWINFO oraz CrystalDiskInfo, dostarcz również przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.
-
Integralność Windows w porządku i wygląda na to, że dyski również.
Zamieszczam jeszcze zdjęcie pulpitu bezpośrednio po uruchomieniu systemu, widać na nim dziwne zachowanie Malwarebytes. Po naciśnięciu „Tak”, komputer się zresetował. Ochronę w czasie rzeczywistym muszę za każdym razem włączać ręcznie.
Hm...Nie wydaję mi się, by to powodowała aktywna infekcja.
Zrób skan za pomocą Kaspersky Virus Removal Tool (KVRT). Jeśli nic nie zostanie wykryte to przeinstaluj oprogramowanie MBAM.
-
Całość pomyślnie wykonana. Wygląda na to, że infekcja zdjęta, ale jeszcze powstrzymaj się z logowaniem do serwisów / transakcjami.
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
C:\ProgramData\Microsoft\Windows\GameExplorer\{38292D30-802C-45A4-A3BF-B1D4BB5D4C03}\SupportTasks\0\Spore.com.lnk File: C:\Users\Lenovo\Documents\MOOBBA5.tmp C:\ProgramData\ByteFence CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Lenovo\AppData\Local
CMD: dir /a C:\Users\Lenovo\AppData\LocalLow
CMD: dir /a C:\Users\Lenovo\AppData\Roaming
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule /s
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Zastosuj McAfee Consumer Product Removal (MCPR) w celu pozbycia się resztek po wcześniejszej instalacji produktów McAfee.
3. Uruchom Norton Power Eraser. Wybierz Scan for Risk. Rozpocznie się skanowanie poprzedzone restartem, czekaj cierpliwie, nie przerywaj go. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz zrzut ekranu, na którym widać zagrożenia. -
A gdzie raporty, o które prosiłem w pkt. 5?
-
To definitywnie infekcja Trojan.Netwird (rozpoznałem w oparciu o budowę infekcji), ale widoczny jest również niecieszący się dobrą renomą ByteFence, który zostanie odinstalowany.
Skrypt ściągnie założone przez infekcje blokady aplikacji zabezpieczających i widoczny plik tej gadziny. Niestety nie jestem w stanie przeprowadzić całościowej dezynfekcji ręcznie, gdyż oprócz charakterystycznych kluczy / plików Trojan tworzy również losowo generowane lokalizacje.
Oprócz tego czyszczę system z resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox i kasuje martwe wpisy / skróty / opróżniam systemowy kosz.
Na zakończenie (a najlepiej zrobić to na urządzeniu, na którym na pewno nie ma infekcji) wymagana jest prewencyjna zmiana hasła we wszystkich serwisach logowania (gdyż Trojan zdolny jest je wykraść - toteż świadczy o tym, że nie powinny być prowadzone na tym urządzeniu żadne logowania / transakcje do czasu uznania systemu za czysty).
Z POZIOMU TRYBU AWARYJNEGO:
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers1: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => C:\Program Files (x86)\AVG\AVG PC TuneUp\SDShelEx-x64.dll -> Brak pliku
ContextMenuHandlers4: [AVG Disk Space Explorer Shell Extension] -> {4838CD50-7E5D-4811-9B17-C47A85539F28} => C:\Program Files (x86)\AVG\AVG PC TuneUp\DseShExt-x64.dll -> Brak pliku
ContextMenuHandlers4: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => C:\Program Files (x86)\AVG\AVG PC TuneUp\SDShelEx-x64.dll -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {192C872A-4291-4519-BCEB-DA9FE84A28EC} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku IFEO\avcenter.exe: [Debugger] nsjw.exe
IFEO\avgsvca.exe: [Debugger] nsjw.exe
IFEO\avguard.exe: [Debugger] nsjw.exe
IFEO\avguix.exe: [Debugger] nsjw.exe
IFEO\avp.exe: [Debugger] nsjw.exe
IFEO\bdagent.exe: [Debugger] nsjw.exe
IFEO\ccuac.exe: [Debugger] nsjw.exe
IFEO\ComboFix.exe: [Debugger] nsjw.exe
IFEO\egui.exe: [Debugger] nsjw.exe
IFEO\hijackthis.exe: [Debugger] nsjw.exe
IFEO\keyscrambler.exe: [Debugger] nsjw.exe
IFEO\mbam.exe: [Debugger] nsjw.exe
IFEO\McSACore.exe: [Debugger] nsjw.exe
IFEO\MpCmdRun.exe: [Debugger] nsjw.exe
IFEO\MSASCui.exe: [Debugger] nsjw.exe
IFEO\MSASCuiL.exe: [Debugger] nsjw.exe
IFEO\MsMpEng.exe: [Debugger] nsjw.exe
IFEO\msseces.exe: [Debugger] nsjw.exe
IFEO\saUI.exe: [Debugger] nsjw.exe
IFEO\spybotsd.exe: [Debugger] nsjw.exe
IFEO\TuneUpUtilitiesApp64.exe: [Debugger] nsjw.exe
IFEO\TuneUpUtilitiesService64.exe: [Debugger] nsjw.exe
IFEO\wireshark.exe: [Debugger] nsjw.exe
IFEO\zlclient.exe: [Debugger] nsjw.exe
C:\Users\Lenovo\AppData\Roaming\msconfig.ini
BHO: McAfee WebAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll => Brak pliku
BHO-x32: McAfee WebAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll => Brak pliku
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll Brak pliku
S2 TuneUp.UtilitiesSvc; "C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesService64.exe" [X]
S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [X]
S3 mfesapsn; \??\C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [X]
S2 McAfee SiteAdvisor Service; "C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe" [X]
C:\Users\Lenovo\Desktop\Assassins Creed IV - Black Flag.lnk
C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\McAfee WebAdvisor.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Lenovo\AppData\Local\Mozilla
C:\Users\Lenovo\AppData\Roaming\Mozilla
C:\Users\Lenovo\AppData\Roaming\Profiles
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Przejdź do lokalizacji C:\Program Files\ByteFence i z jej poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe).
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Wszystkie detekcje przenieś do kwarantanny. Koniecznie dostarcz raport z tej akcji.
4. Dostarcz raport Farbar Service Scanner (FSS).
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik Fixlog. -
Założyłem temat na innym forum, bo zależy mi na rozwiązaniu, a nie wiem kto się odezwie i na ile będą to zrozumiałe dla mnie porady.
Tylko co z czasem osób, które zdecydują się rozpisać profesjonalne instrukcje, a okaże się, że było to niepotrzebne, bo zrezygnowałeś z danego forum?
W takim razie czekam na raporty, rozumiem, że z tamtego forum zrezygnowałeś - powiadom o tym, by nikt nie zaczął prowadzić pomocy na marne.
-
Cytat
Z uwagi na to, że system (Windows 7) długo nie był aktualizowany (chyba jakieś 2 lata...), dzisiaj dokonałam jego aktualizacji.
Rozumiem, że proces aktualizacji systemu był prowadzony do wyniku zero odnalezionych aktualizacji ważnych i opcjonalnych (oczywiście z pominięciem pakietów językowych)?.
Raporty nie wykazują oznak infekcji, w przeglądarce Google Chrome widoczne jest tylko rozszerzenie SciHub, które jest oflagowane przez FRST:
CHR Extension: (Sci-Hub) - C:\Users\Sony\Desktop\Sci-Hub [2017-12-08] [UpdateUrl: hxxps://sci-hub.tw/update] <==== UWAGA
Podejrzewam, że to sprawa niedomyślnej lokalizacji rozszerzeń (z tego co widzę to wyszukiwarka prac naukowych). Pytanie czy to Twoja celowa instalacja?
Komentując zaś resztę problemów, poproszę o:
1. Raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.
2. Raport z zakładki System Summary w HWINFO oraz CrystalDiskInfo.
-
Założyłeś temat na innym forum bez powiadomienia.
Zresztą, tamte "porady" to nawet trudno skomentować (niepotrzebne działania - to problem infekcji).
Jeśli zdecydujesz się na nasze forum to przejdź do Trybu awaryjnego z dostępem do Sieci i spróbuj wykonać raporty FRST.
-
Wszystko jest przecież opisane krok w o kroku:
-
Posty moderacyjne dot. poprawności raportów kasuję, by nie robić zamieszania.
Raporty nie wykazują oznak infekcji.
SteamServerBrowser to autentyczny komponent instalacji Steam.
BitDefender wygenerował fałszywy alarm. Sugeruję dodać tą detekcję do wyjątków (= brak powiadomień) / zgłosić producentowi.
W spoilerze zdaję działania poboczne do wykonania, czysto kosmetyczne: kasacja martwych wpisów / skrótów / resztek po oprogramowaniu.
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1289108821-3473313638-2618488464-1000\...\ChromeHTML: -> ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {D8A176BE-1C19-4123-A4FC-58D56FBC2C94} - System32\Tasks\{B02D8772-26AA-44A2-8F8E-84608BBB5837} => C:\Windows\system32\pcalua.exe -a "D:\Program Files (x86)\Steam\steamapps\common\rocketleague\_CommonRedist\vcredist\2010\vcredist_x86.exe" -d "D:\Program Files (x86)\Steam\steamapps\common\rocketleague\_CommonRedist\vcredist\2010" AlternateDataStreams: C:\Users\Public\AppData:CSM [468] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1289108821-3473313638-2618488464-1000\...\Policies\Explorer: [] Toolbar: HKU\S-1-5-21-1289108821-3473313638-2618488464-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S1 ESEADriver2; \??\C:\Users\DARIOA~1\AppData\Local\Temp\ESEADriver2.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 Global Offensive\Counter-Strike 1.6 Global Offensive.lnk C:\Users\Darioanon\Desktop\Matchmaking Server Picker — skrót.lnk C:\Users\Darioanon\Desktop\eae\McAfee Security Scan Plus.lnk C:\Users\Darioanon\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Darioanon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3368a43396fdde76\Safepay™ Bitdefender.lnk C:\Users\Darioanon\AppData\Local\Microsoft\Windows\GameExplorer\{492DC46C-D8B1-4001-9216-E5F51DACB837}\PlayTasks\0\Zagraj.lnk EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
-
A z kurzu nie był czyszczony na pewno już ze 2 lata...
Czas najwyższy się za to zabrać, ale proszę wykonywać to bardzo ostrożnie.
Temperatury są już nie najlepsze. Ale to po dezynfekcji.
CRITICAL_PROCESS_DIED to bardzo ogólny błąd i nie potrafię na podstawie tego postawić konkretnej przyczyny (a to pokazać by mógł zrzut pamięci).
Najczęściej jednak dotyczy on problematycznych sterowników. Wszystkie trzeba uaktualnić.
Szczególnie ten:
==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Deskjet F4500 series Description: Deskjet F4500 series Class Guid: {4d36e971-e325-11ce-bfc1-08002be10318} Manufacturer: HP Service: Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Deskjet F4500 series Description: Deskjet F4500 series Class Guid: {6bdd1fc6-810f-11d0-bec7-08002be2092f} Manufacturer: HP Service: StillCam Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.
Gdy to zostanie zrobione i BSoD ustąpi:
Jest OK, teraz doczyszczenia:
1. Zagrożenia wykryte przez Malwarebytes daj do kasacji.
2. Ręcznie za pomocą klawiszy SHIFT + DELETE skasuj:
C:\ProgramData\Mail.Ru
C:\Users\Tom\AppData\Local\Mail.Ru
C:\Users\Tom\AppData\Roaming\EvuyXJiab.bat
C:\Program Files (x86)\Common Files\oDilKaTEO.bat
3. Wykonaj drugą metodę usuwania niezgodnych danych w Centrum zabezpieczeń (chodzi o Avire). Wydaję mi się, że metoda powinna zaaplikować się na Windows 10.
4. Napisz jak podsumowujesz obecny stan systemu, czy problem związany z przeglądarkami ustąpił?
-
Zaszyfruje.
Ale ja mówię o kopiach zapasowych przetrzymywanych poza systemem.
-
Raporty nie wykazują oznak infekcji. To prawdopodobnie któraś z zainstalowanych aplikacji wykonuje aktualizację / inną akcję przy starcie.
Temat przenoszę do działu Windows 10, gdzie ewentualnie będzie prowadzona dalsza pomoc.
-
Proszę zapoznać się z zasadami działu.
Post wydzielam w nowy temat, gdyż postawiona reguła jest jasna: jeden problem = jeden temat.
Raporty kasuje, ponieważ mają być bez dat, czyli z miejsca, z którego został uruchomiony FRST, a nie z archiwalnego C:\FRST. Brak dat jest istotny, ponieważ potwierdza, że nie ma nowszych raportów.
-
Cerber to tylko jeden z całej puli, a przecież nieprzerwanie powstają nowe.
Infekcje szyfrujące są ostatnio bardzo modne wśród cyberprzestępców, gdyż przynoszą zyski (i to nie małe!).
Proszę skorzystać z naszego autorskiego zestawienia aplikacji zabezpieczających.
Jeśli pojawią się wątpliwości to sugeruję założyć temat w dziale Oprogramowanie zabezpieczające.
Najlepszą ochroną przeciwko oprogramowaniu typu Ransomware jest wykonywanie regularnych kopii zapasowych danych.
Oprócz tego osobiście polecam rozwiązania Kaspersky (w tym wersję Free).
-
Sugeruję po prostu czekać w nadziei, że kiedyś pojawi się dekoder, choć szanse na to są naprawdę nikłe.
Zapytam jeszcze picasso, ale myślę, że jej odpowiedź pokryję się z moją.
-
1. Zagrożenia wykryte przez Malwarebytes daj do kasacji.
2. Podsumuj obecny stan systemu. Czy omawiane problemy ustąpiły?
-
Jedyne co wczoraj zrobiłem to odinstalowałem AVG który blokował inne antywirusy i program FRST, dlatego problem ustąpił z błędem, który cytowałem wyżej.
AVG powodował już kiedyś taki problem, ale coś nie mogę znaleźć tego tematu.
Sugeruję wymienić go na inne oprogramowanie zabezpieczające.
Raporty nie wykazują oznak infekcji, a co za tym idzie temat przenoszę do działu Windows 10, gdzie będzie prowadzona dalsza pomoc.
W spoilerze zadaję drobną kosmetykę do wykonania (kasacja martwych wpisów / zanieczyszczonego pliku Hosts / resztek po oprogramowaniu, m.in po przeglądarce Mozilla FireFox).
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CloseProcesses: ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {3F04A626-A33D-4096-8802-3C582666D58F} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku SearchScopes: HKU\S-1-5-21-659809927-3005934564-2642407563-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Jagoda\AppData\Local\Mozilla C:\Users\Jagoda\AppData\Roaming\Mozilla C:\Users\Jagoda\AppData\Roaming\Profiles Hosts: EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
Po zainstalowaniu oprogramowania WINDOWS 10 od początku nie działa funkcja wyszukiwania ("lupa" na pasku zadań obok "startu").
Usługa Windows Search jest włączona? Sprawdź to.
1. Kliknij klawisz + R > wpisz frazę services.msc i kliknij ENTER > na liście usług odnajdź Windows Search > z prawokliku Właściwości > w sekcji Typ uruchomienia zmień na Automatyczny > kliknij Zastosuj i OK.
2. Zrestartuj system i sprawdź efekty.
-
Temat przenoszę do działu Windows 10.
Dział Pomocy doraźnej służy do leczenia zainfekowanych platform Microsoft.Poczekaj na moderatora działu Hardware, gdyż z tego co wiem jest on dobrze obeznany w zakresie reanimacji utraconych danych.
-
PS. podczas "Ponownego uruchomienia" pokazał sie Bluescreen.
Nadal żadnych danych w folderze zrzutów pamięci?
Raczej nie możemy iść dalej, póki nie ustalimy przyczyny, gdyż BSoD ma priorytet i może oznaczać poważne uszkodzenia (a wykonywana dezynfekcja może się na nie nałożyć).
W przypadku kolejnego wystąpienia proszę albo zapisać jego treść albo wykonać zdjęcie i załączyć je.
-
Proszę wygenerować raporty zgodnie z naszymi wytycznymi.
-
W takim razie rzeczywiście kontakt z dostawcą wydaję się być dobrym posunięciem.
Blue Screen'y, wyłączanie ochrony MBAM, obniżenie wydajności
w Dział pomocy doraźnej
Opublikowano
W porządku.
Trudno skomentować te detekcje, ale nie wygląda to na nic poważnego.
- not-a-virus:RiskTool.Win32.FusionCore.d - ta detekcje prowadzi do lokalizacji tymczasowej. Wyczyść cały folder C:\Users\Sony\AppData\Local\Temp i sprawdź efekty ponownym skanem. To wygląda na jakąś pozostałość.
- not-a-virus:AdWare.Win32.OpenCandy.db - detekcja prowadzi do lokalizacji programu Solidworks, pytanie czy to zintegrowane adware. Myślę jednak, że możesz dać go do kasacji.
Powiedz czy masz jeszcze jakieś pytania? Jakie problemy obecnie chcesz rozwiązać?