-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
Spokojnie, już picasso powiadomiona - czekamy.
Przepraszam.
-
Kurczę, ale czy na pewno wybrałeś w karcie rozruch Windows 7 jako domyślne?
Masz płytę z Windows? To będzie teraz priorytet.Powiadomiłem picasso, gdyż nie czuję się pewnie w takich infekcjach.
-
Świetnie, o to mi chodziło.
Infekcja dodała nową pozycję startową Windows Fast Mode powiązaną z dwoma fałszywymi plikami "Microsoftu" cytowanymi przeze mnie powyżej:
Moduł ładujący rozruchu systemu Windows
---------------------------------------
Identyfikator {default}
device partition=C:
path \Windows\system32\osloader.exe
description Windows Fast Mode
inherit {bootloadersettings}
recoveryenabled Yes
osdevice partition=C:
systemroot \Windows
kernel ntkrnlmp.exe
resumeobject {7b79ade8-e503-11e7-8cbc-806e6f6e6963}
nx OptIn
1. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako administrator. W karcie Rozruch podświetl pozycję "Windows 7" i kliknij Ustaw jako domyślne. Następnie podświetl pozycję Windows Fast Mode i kliknij w Usuń. Zresetuj system, by zweryfikować naprawę rozruchu.
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
CreateRestorePoint:
2018-02-02 14:40 - 2017-12-22 23:47 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
Task: {08AFD207-5639-4185-990E-CE9D402DF61F} - System32\Tasks\{B1DE5E52-53B2-4CB9-B0E9-A8B93E04217A} => C:\Windows\system32\pcalua.exe -a "C:\Users\Karolek\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" -c /uninstall
Task: {345F919E-63AE-41E7-A713-9153A85A515D} - System32\Tasks\{A84D2D3A-F9A4-452A-9120-39E57BAB0D3E} => C:\Windows\system32\pcalua.exe -a "D:\OtherDriver\Intel SBA\IntelSba_4.0.44.exe" -d "D:\OtherDriver\Intel SBA" -c -silent
C:\Windows\system32\ntkrnlmp.exe
C:\Windows\system32\osloader.exe
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.
3. Wykonaj skanowanie Integralności Windows z opcji sfc /scannow i dostarcz przefiltrowany raport.
4. Napisz, czy problemy, z którymi zgłosiłeś się ustąpiły. -
Właśnie dlatego użytkownikom niewykwalifikowanym i nieznających systemu odradzamy ręczne manipulację w rejestrze / używania automatów czyszczących, gdyż można sobie poważne zaszkodzić.
Poniżej wylistowałem istniejące punkty przywracania systemu:
11-02-2018 14:18:16 Odinstalowano za pomocą Total Uinstall "{8BE9B6CB-0D22-4552-A2D9-718F8515F34B}"
11-02-2018 14:18:52 Odinstalowano za pomocą Total Uinstall "Grand Theft Auto IV"
11-02-2018 14:18:59 Removed Grand Theft Auto IV
11-02-2018 14:19:32 Odinstalowano za pomocą Total Uinstall "Grand Theft Auto IV"
11-02-2018 14:19:39 Removed Grand Theft Auto IV
11-02-2018 14:23:16 Odinstalowano za pomocą Total Uinstall "{8BE9B6CB-0D22-4552-A2D9-718F8515F34B}"
11-02-2018 14:23:37 Odinstalowano za pomocą Total Uinstall "64 Bit HP CIO Components Installer"
11-02-2018 14:23:57 Removed 64 Bit HP CIO Components Installer
11-02-2018 14:26:38 Odinstalowano za pomocą Total Uinstall "aimp4"
11-02-2018 14:27:32 Odinstalowano za pomocą Total Uinstall "aimp4"
Moje pytanie brzmi: czy któryś z tych punktów kwalifikuję się do użycia, czy wszystkie zostały utworzone już po uszkodzeniu? Jeśli tak - użyj go i sprawdź efekty.
Gdy powyższe zawiedzie:
Skutek jest taki że nie mogę odtworzyć żadnego programu do muzyki (...)
1. Wg raportu Addition masz zainstalowane dwa programy do obsługi muzyki:- iTunes (HKLM\...\{F0C7385A-9D20-45F3-8101-05D383885180}) (Version: 12.6.1.25 - Apple Inc.)
- Spotify (HKU\S-1-5-21-4065495151-3397177592-3567152038-1000\...\Spotify) (Version: 1.0.73.345.g6c9971ef - Spotify AB)
Czy próbowałeś już przeprowadzić reinstalacje obydwu? Jeśli nie to sprawdź czy przyniesie to jakieś rezultaty.
2. Pokaż mi również klucz usługi Windows Audio, który przy innej konfiguracji (lub uszkodzeniu) może dawać podobne efekty.
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy o losowej nazwie. Wklej do pliku następującą treść:
Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\Audiosrv" /s
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania.Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
(...) komputer strasznie powoli chodzi i to bardzo irytuje...
Co konkretnie masz na myśli? W jakich okolicznościach system nie działa poprawnie? -
Wszystko pomyślnie wykonane, a komunikat bardzo istotny, gdyż ujawnił infekcję i to właśnie ona ustawiła brak kontroli integralności (podejrzewałem to).
Loaderem systemu Windows 7 jest winload.exe, a nie osloader.exe. Ten plik wygląda na malware.
1. Zagrożenia wykryte przez Malwarebytes daj do kasacji.
2. Poproszę o nowy skan FRST z zaznaczoną opcją Lista BCD, Addition i Shortcut niepotrzebne. Dodatkowo, wklej w polu Szukaj ntkrnlmp.exe i klik w Szukaj plików.
-
Raporty dostarczone, więc niepotrzebne posty stąd kasuje.
Widzę, że były stosowane różne narzędzia i o ile AdwCleaner przemilczę (choć powinieneś dostarczyć raport!), tak użycie ComboFix było najgorszym co mogłeś zrobić i miałeś więcej szczęścia niż rozumu - KLIK.
Resztki po tych programach będą usuwane w trakcie finalizacji tematu.
Jeśli zaś chodzi o problem reklam to w systemie widoczne są zadania adware / PUP, a także śmieciowa wyszukiwarka i zamulony plik Hosts - tym będziemy się teraz zajmować.
Oprócz tego sprzątam system z resztek: martwych wpisów / skrótów, pozostałości po przeglądarce Mozilla FireFox itp.
Włączam również kontrolę integralności, bo dotychczasowo była wyłączona.
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
CloseProcesses:
CreateRestorePoint:
GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Toolbar: HKU\S-1-5-21-1917668780-486707301-2944577488-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
HKU\S-1-5-21-1917668780-486707301-2944577488-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://page-ups.com/all/
S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160601.040\ENG64.SYS [X]
S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160601.040\EX64.SYS [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
Task: {50C4F8C6-0965-41EF-A464-6AA77BF6E68A} - System32\Tasks\Windows Formulator Notes Lite => C:\Windows\system32\rundll32.exe "C:\Program Files\Windows Formulator Notes Lite\Windows Formulator Notes Lite.dll",rLPtmp Task: {7CC69EB6-90CD-47C6-A7B4-EFD6D18AC598} - System32\Tasks\CPU Tracker for CDM Demo => C:\Windows\system32\rundll32.exe "C:\Program Files\CPU Tracker for CDM Demo\CPU Tracker for CDM Demo.dll",fisSojQ Task: C:\Windows\Tasks\CPU Tracker for CDM Demo.job => rundll32.exe C:\Program Files\CPU Tracker for CDM Demo\CPU Tracker for CDM Demo.dll
Task: {8ADFEA2A-EA17-4F35-BB78-16EFB4A439A8} - System32\Tasks\Jack Game Contacts Lease => C:\Windows\system32\rundll32.exe "C:\Program Files\Jack Game Contacts Lease\Jack Game Contacts Lease.dll",UjObmie Task: {8F873C7A-CB14-4DF4-9D1F-E19D2ED45E2D} - System32\Tasks\AutoFise OpenViewer => C:\Windows\system32\rundll32.exe "C:\Program Files\AutoFise OpenViewer\AutoFise OpenViewer.dll",rXGGCJZZHci Folder: C:\Program Files\Windows Formulator Notes Lite
Folder: C:\Program Files\CPU Tracker for CDM Demo
Folder: C:\Program Files\Jack Game Contacts Lease
Folder: C:\Program Files\AutoFise OpenViewer
C:\Users\Karolek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplorеr (Nо Аdd-оns).lnk
nointegritychecks: ==> "IntegrityChecks" [funkcja wyłączona] DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Karolek\AppData\Local\Mozilla
C:\Users\Karolek\AppData\Roaming\Mozilla
C:\Users\Karolek\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. -
Tak, o to chodziło, ale wynik analizy trochę mnie nie satysfakcjonuję.
Rozszerzenie .cerber wskazuję na wariant V1, aczkolwiek ważna jest również nazwa zapisanego pliku.
Jeśli schemat zapisu zaszyfrowanych plików jest następujący: {10 losowych znaków}.cerber to istnieje szansa na deszyfracje za pomocą Trend Micro Ransomware File Decryptor.
Infekcja ransomware Xorist z tego co pamiętam tworzy plik w taki sposób: zachowana nazwa oryginalnego pliku.cerber i to też jest do odkodowania za pomocą Emsisoft Decrypter for Xorist i nie wykluczone, że poradzi sobie również Kaspersky XoristDecryptor.
Gdy nic nie zadziała to proszę o pokazanie nazw zaszyfrowanych danych, bym mógł powiedzieć coś więcej.
-
Pomocy przy sprawdzeniu logów - Problem z internetem
Ehh...przykro mi, że nie szanujesz czasu innych ludzi.
-
Ransomware Cerber ma kilka wariantów i trzeba wiedzieć, który to dokładnie, by określić czy istnieje ratunek dla danych.
W celu identyfikacji wariantu proszę wysłać zaszyfrowany plik do analizy w usłudze ID Ransomware i dostarczyć jej wynik (w postaci screen'a).
P.S: Ten dział wymaga dostarczenia raportów FRST. Jeśli jednak nie oczekujesz analizy raportów - poinformuj o tym.
-
Najnowszy temat skasowałem - założyłeś dwa, przypuszczam, że w celu przyśpieszenia pomocy, a przecież nie czekałeś nawet trzech godzin.
Na przyszłość: duplikaty mogą tylko zdenerwować moderatora, a nie życzę tego nikomu. Proszę wykazać odrobinę cierpliwości. Rozumiem, że pomoc jest oczekiwana, bo problem utrudnia prace z komputerem, ale ja nie jestem robotem.
Po kolei, wszystko wyjaśnimy. Komentując detekcje AdwCleaner:
PUP.Optional.Legacy, C:\Users\Boryss\AppData\Local\Pokki
PUP.Optional.Legacy, C:\Users\Default\AppData\Local\Pokki
PUP.Optional.Legacy, C:\Users\Default User\AppData\Local\Pokki
PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Pokki
PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki
PUP.Optional.Legacy, [Key] - HKCU\Software\Pokki
PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki
PUP.Optional.Legacy, [Value] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Microsoft\Windows\CurrentVersion\Run | Pokki
PUP.Optional.Legacy, [Value] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run | Pokki
PUP.Optional.Legacy, [Value] - HKCU\Software\Microsoft\Windows\CurrentVersion\Run | Pokki
Pokki - program raczej niecieszący się dobrą opinią (w Windows 8 może dodatkowo działać jako "zastępca" menu - tj. u Ciebie), wątpliwy wydawca (SweetLabs), prawdopodobnie ze zintegrowanymi elementami PUP / adware, jest domyślnie instalowany w sprzęcie Lenovo.
W celu prawidłowego pozbycia się tych detekcji należy odinstalować program Start Menu. Odpowiadając na Twoje pytanie: AdwCleaner nie otrzymał polecania Oczyść, a jednie Skanuj - dlatego te elementy nie zostały skasowane:
C:/AdwCleaner/AdwCleaner[S15].txt - [2572 B] - [2018/2/3 13:31:35]
C:/AdwCleaner/AdwCleaner[S16].txt - [6774 B] - [2018/2/10 14:54:5]
C:/AdwCleaner/AdwCleaner[S17].txt - [6700 B] - [2018/2/10 15:30:46]
Funkcja Skanuj nie usuwa detekcji, a jedynie je listuje.
Po deinstalacji ewentualne szczątki doczyścić AdwCleaner'em.
PUP.Optional.WebWatcher, [Key] - HKLM\SOFTWARE\Classes\Interface\{3AE76A17-C344-4A83-81CE-65EFEE41E42D}
PUP.Optional.WebWatcher, [Key] - HKLM\SOFTWARE\Classes\Interface\{4E9EB4D5-C929-4005-AC62-1856B1DA5A24}
PUP.Optional.WebWatcher, [Key] - HKLM\SOFTWARE\Classes\Interface\{8FAF962C-3EDE-405E-B1D0-62B8235C6044}
Kolejny PUP, ale to już widocznie tylko resztki. Proszę dać do kasacji (czyli nie samo Skanuj, a Skanuj + Oczyść).
PUP.Optional.VisualDiscovery, [Key] - HKLM\SOFTWARE\VisualDiscovery
PUP.Optional.VisualDiscovery, [Key] - HKLM\SOFTWARE\Superfish Inc. VisualDiscovery
PUP.Optional.Winsock.WnskRST, C:\Windows\System32\VisualDiscoveryOff.ini
PUP.Optional.Winsock.WnskRST, C:\Windows\SysNative\VisualDiscoveryOff.ini
PUP.Optional.Winsock.WnskRST, C:\Windows\SysWOW64\VisualDiscoveryOff.ini
PUP.Optional.VisualDiscovery, C:\Windows\System32\VisualDiscovery.ini
PUP.Optional.VisualDiscovery, C:\Windows\SysWOW64\VisualDiscovery.ini
PUP.Optional.VisualDiscovery, C:\Program Files (x86)\Lenovo\VisualDiscovery
Te detekcje jak najbardziej poważne. Otóz Lenovo domyślnie ładowało adware do swoich sprzętów z systemem. Po wybuchu skandalu zaczęło je usuwać...ale niesmak pozostał.
Lenovo Gets a Slap on the Wrist for Superfish Adware Scandal
Proszę dać do kasacji (tj. tłumaczyłem wyżej).
PUP.Optional.LenovoBrowserGuard.AppFlsh, [Key] - HKLM\SOFTWARE\LenovoBrowserGuard
PUP.Optional.LenovoBrowserGuard.AppFlsh, [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\LenovoBrowserGuard
Proszę z poziomu Panelu Sterownia odinstalować Lenovo Browser Guard. To adware / PUP znowu...domyślnie ładowane przez Lenovo.
Ewentualnie szczątki również doczyścić za pomocą AdwCleaner.
Wylistowałem, te które udało mi się powiązać, ale reszta również raczej do kasacji (to podobne "kwiatki").
Sugeruję również przefiltrować listę "prezentów na start od Lenovo", bo często większość z nich to tylko utrapienie dla użytkownika. W tym celu proszę wejść do Panelu Sterownia i do sekcji deinstalacji - to co niepotrzebne polecam odinstalować.
Komentując zaś raporty: brak oznak infekcji i nie zadam nawet kosmetyki, gdyż powyższe zalecenia powinny załatwić wszystko.
Temat przenoszę do działu Sieci, gdzie będzie prowadzona pomoc obejmująca problem tytułowy. Proszę dostarczyć wymagane raporty przez ten dział. -
Linki do raportów przecież nie działają. Powodem nie jest dodawanie nowej wklejki jak podaje strona - to jest ogólny błąd tego serwisu, który od dawna nie jest naprawiony - proszę wykonać raporty ponownie i wkleić je.
Sprawdzę je z priorytetem.
-
Tak, to rzeczywiście wygląda na GandCrab i niestety, ale jest to jeden z najnowszych wariantów infekcji szyfrującej.
GandCrab Ransomware Help & Support Topic (.GDCB & GDCB-DECRYPT.txt)
Deszyfracja plików jest aktualnie awykonalna, nie ma skutecznego dekodera. Zaszyfrowane dane sugeruję skopiować na jakiś dysk zewnętrzny i poczekać, bo być może w przyszłości pojawi się dla nich ratunek.
Na bieżąco sugeruję również analizować zaszyfrowany plik w usłudze ID Ransomware, bo oprócz identyfikacji infekcji widoczna jest informacja o dostępności ewentualnego dekodera.
Nikłe szanse są również na działanie programów do odzyskiwania danych typu TestDisk / PhotoRec i podobnych tworów. Po pierwsze: komputer działa cały czas (non-stop zapisy na dysku). Po drugie, ten wariant infekcji mógł zastosować tzw. "bezpieczne wymazywanie danych z dysku", by uniemożliwić zastosowanie programów do odzyskiwania danych.
W raportach widoczne są jeszcze ślady infekcji. Zalecam kompleksową reinstalacje systemu.
Jeśli jednak nie zdecydujesz się na zalecany krok to jedyne co mogę zrobić, to usunąć planszę z żądaniem okupu i inne resztki (co nie zagwarantuje, że system i zainstalowane oprogramowanie zewnętrzne będą działać poprawnie, gdyż zostaną uszkodzone programy i elementy Windows pozbawione plików, które zmieniły się w zaszyfrowane ekwiwalenty).
P.S: Skonsultuje się jeszcze z picasso, gdyż ma ona dużo większą wiedzę na temat tego rodzaju złośliwego oprogramowania.
-
Akcja wykonana pomyślnie. Z mojej strony to tyle.
Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
-
AdwCleaner i CCleaner niczego nie wykazał więc zwracam się z prośbą o pomoc tutaj.
AdwCleaner to stosunkowo nie do tej infekcji, to narzędzie zaprojektowane do usuwania ustrojstwa typu adware / PUP.
CCleaner zaś to "czyściciel systemu", brak skanera antywirusowego, nic więc dziwnego, że nie pomógł. Po za tym proszę uważać na tego typu programy, wiąże się z nimi możliwość uszkodzenia systemu.
Raporty wykazują oznaki infekcji potocznie zwanej "skrótową".
Scenariusz pomocy jest złożony: najpierw dezynfekcja systemu, a dopiero po niej dezynfekcja mediów przenośnych.
Akcja:
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
CloseProcesses: CreateRestorePoint: Task: {C40E93BC-D9D0-4750-9FD8-1BA75B089335} - \QubczykMadEpiphenomenaV2 -> Brak pliku Task: {EFCF0038-2CCD-4037-A99C-3AEDF07BC0FC} - System32\Tasks\{F0BD03AE-ABD3-4787-9D06-39433E720985} => C:\Windows\system32\pcalua.exe -a "C:\Users\Qubczyk\Desktop\foobar2000\install\vcredist install\vcredist_x64.exe" -d "C:\Users\Qubczyk\Desktop\foobar2000\install\vcredist install" MSCONFIG\startupreg: kapef => C:\Users\Qubczyk\kapef.exe HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Run: [kapef] => C:\Users\Qubczyk\kapef.exe [49152 2017-12-12] () C:\Users\Qubczyk\kapef.exe C:\Users\Madziara\mgqih.exe HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 GroupPolicy\User: Ograniczenia GroupPolicyUsers\S-1-5-21-817834129-3643686830-2580109843-1002\User: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-817834129-3643686830-2580109843-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free Coub Download.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free YouTube Uploader.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\SoundCloud Download.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD\OverDrive\OverDrive Users Guide.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
3. Na koncie Qubczyk i Madziara zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Raporty nie wykazują oznak infekcji, w spoilerze zadaje kosmetykę: kasacja martwych wpisów / skrótów.
Temat przenoszę do działu Windows 10, gdybyś miał inne pytania dot. tego systemu.
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avidemux (64 bits)\VS Proxy GUI 2.7.lnk
C:\Users\janm.dom\Documents\NiceLabel\NiceLabel 2017.lnk
C:\Users\janm.dom\Desktop\strony\z dnia 20 listopada 2017\www.dom.krakow.pl jeszcze na hp\x\Zakupy (pliki) (Z) — skrót (2).lnk
C:\Users\janm.dom\Desktop\strony\z dnia 20 listopada 2017\www.dom.krakow.pl jeszcze na hp\x\Zakupy (pliki) (Z) — skrót (3).lnk
C:\Users\janm.dom\Desktop\strony\z dnia 20 listopada 2017\www.dom.krakow.pl jeszcze na hp\x\Zakupy (pliki) (Z) — skrót (4).lnk
C:\Users\janm.dom\Desktop\strony\z dnia 20 listopada 2017\www.dom.krakow.pl jeszcze na hp\x\Zakupy (pliki) (Z) — skrót.lnk
C:\Users\janm.dom\Desktop\dom\excel\czytniki.xlsx — skrót.lnk
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {F096C2DD-EFF7-4DF2-A343-31C5B926BB41} - System32\Tasks\{0EC5ECB4-FF6F-40C1-ADE7-5E9049D84C42} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Jasc Software Inc\Paint Shop Pro 7\psp.exe" -d "C:\Program Files (x86)\Jasc Software Inc\Paint Shop Pro 7\"
GroupPolicy: Ograniczenia EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. -
Skorzystaj z serwisu hostującego grafiki, np. PostImage.
-
Nadal niepoprawnie - raporty mają być bez dat, czyli z miejsca, z którego został uruchomiony FRST, a nie z archiwalnego C:\FRST. Brak dat jest istotny, ponieważ potwierdza, że nie ma nowszych raportów.
-
Wiem, że ComboFix jest bardzo inwazyjnym programem, ale mimo to chcę uzyskać odpowiedź.
I obecnie praktycznie w ogóle nieużywanym.
CombFix obsługuje następujące platformy: Windows XP, Windows Vista, Windows 7, Windows 8 32-bit (x86) i 64-bit (x64).
Nie powinno więc być żadnych problemów z uruchomieniem tego narzędzia. Odsyłam do instrukcji uruchomienia.
Czy podczas uruchamiania wyświetlany jest konkretny błąd? Jeśli tak, pokaż go.
-
Aktywne malware powinno zostać zdjęte jednak wymagana jest kontrola i wdrążenie doczyszczeń.
Proszę dostarczyć raporty z przeprowadzonych operacji, o które przecież prosiłem.
-
Raporty nie wykazują oznak infekcji.
Hej, moment temu przeglądając nieodpowiednie obszary Internetu otworzyła mi się karta że mam zapłacić karę na policję.
Windows 10 nie posiada wystarczających zabezpieczeń, aby uchronić system wykorzystywany do takich celów.
Proszę zapoznać się z naszym autorskim zbiorem oprogramowania zabezpieczającego i wybrać, któreś z nich.
-
Kosmetyka pomyślnie wykonana.
Avast nie jest wykluczony - odinstaluj go i poobserwuj.
-
Proszę o cierpliwość.
Brakuje logu Shortcut, ale w tej sytuacji jest on nieistotny, więc pomijam.
Raporty nie wykazują oznak infekcji, w spoilerze wdrążam tylko kosmetykę systemową - czyszczenie martwych wpisów / resztek po programach (w tym po po przeglądarce Mozilla FireFox).
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\...\Run: [] => [X] HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe SearchScopes: HKU\S-1-5-21-2227386290-2385267191-4023304224-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U1 aswbdisk; no ImagePath ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers1: [WinZip] -> [CC]{E0D79304-84BE-11CE-9641-444553540000} => -> No File ContextMenuHandlers4: [WinZip] -> [CC]{E0D79304-84BE-11CE-9641-444553540000} => -> No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File ContextMenuHandlers6: [WinZip] -> [CC]{E0D79304-84BE-11CE-9641-444553540000} => -> No File DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\przem\AppData\Local\Mozilla C:\Users\przem\AppData\Roaming\Mozilla C:\Users\przem\AppData\Roaming\Profiles EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
-
Raporty nie wykazują oznak infekcji, ale temat zostawiam jeszcze w dziale leczenia zainfekowanych platform Windows, gdyż sygnalizujesz, że:
Windows Defender ciągle rzuca komunikatem "znaleziono zagrożenie"
Proszę o dostarczenie raportu z tego wykrycia.
-
Problem z instalacją rozszerzeń na Google Chrome
w Dział pomocy doraźnej
Opublikowano
Oczekując na picasso, szukam przyczyny, dlaczego tak się stało.
To jest prawidłowy moduł ładujący:
...a to jest infekcyjny moduł ładujący:
Reasumując: zleciłem ustawienie modułu Windows 7 jako domyślny i skasowanie modułu Windows Fast Mode. To zrobiłeś.
Czyli teoretycznie przy starcie powinien zostać podstawiony ten prawidłowy loader. Pytanie dlaczego tak się nie stało.
EDIT:
W trakcie operacji byłeś na loaderze poprawnym, gdyż taki wybrałeś podczas stary systemu. Jednak domyślnym jest infekcyjny.
Skoro ustawiłeś Windows 7 jako domyślny i skasowałeś infekcyjny to nie wiem co tu zawiniło i muszę czekać na picasso (loguję się codziennie, mam nadzieję, że jeszcze wieczorem się pojawi).