Skocz do zawartości

Miszel03

Moderatorzy
  • Postów

    2 329
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez Miszel03

  1. Zlecę usunięcie wszystkich używanych narzędzi i raportów na koniec. Poprawki (szczątki po oprogramowaniu zabezpieczającym i Opera / zmiany w Google Chrome): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku BootExecute: autocheck autochk * aswBoot.exe /M:13125c0594 /wow /dir:"C:\Program Files\AVAST Software\Avast" C:\ProgramData\AVAST Software C:\Program Files\Common Files\AVAST Software C:\ProgramData\McAfee C:\Program Files\Opera C:\Users\y\AppData\Roaming\Opera Software C:\Users\y\AppData\Local\Opera Software HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia CHR DefaultSearchURL: Default -> hxxps://defaultsearch.co/?q={searchTerms} CHR DefaultSearchKeyword: Default -> Default Search EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Powiedz jak wygląda sytuacja po tym zabiegu.
  2. Część infekcji pomyślne usunięta. Wygląda to lepiej, ale wciąż wymagane są dalsze działania: 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. Dostarcz raport z tej akcji i ponów skan celem potwierdzenia wyniku 0 infekcji. 2. Zrób nowy zestaw raportów FRST, zmiany w Google Chrome spróbuję usunąć ręcznie. P.S: Nie sugeruj się liczbą zagrożeń w skanie Malwarebytes - to dane rekursywne.
  3. Wygląda na to, że oprócz Adblock Prime wszystkie aplikacje / rozszerzenia zostały wymazane. Podane adresy zwracają brak treści.
  4. W systemie widoczna instalacja PUP, infekcja adware ładowana przez Harmonogram zadań, z plików i w Google Chrome. Oprócz procesu dezynfekcji odbędzie się także sprzątanie systemu z martwych wpisów / skrótów / resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox / czyszczenie kosza. Akcja: 1. Przez Panel Sterownia odinstaluj PUP: NativeDesktopMediaService. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Most Wanted PL\NFS Most Wanted - Spolszczenie.lnk C:\Users\y\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\y\Documents\American Truck Simulator\readme.rtf.lnk C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FACEIT Ltd\FACEIT.lnk C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Nox\Nox.lnk C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Nox\Nox_unload.lnk C:\Users\y\AppData\Local\Microsoft\Windows\GameExplorer\{458044EE-527F-489C-ADF8-DD180A10B700}\PlayTasks\0\Zagraj.lnk ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {24BD8404-C660-44E1-8D79-11D8C5F2011B} - System32\Tasks\UEznpHBkc3To => ueznphbkc3to.exe Task: {32B8361E-B3A4-4B26-86F7-38189F272223} - \F3E72C08-821E-7ECC-1814-27797268B9AA -> Brak pliku Task: {BD0C867A-19D5-423D-9E08-1E263377881D} - System32\Tasks\timeandnewsnettorz => C:\Program Files\Opera\Launcher.exe Task: {D4F7E4AE-F4E7-4CE0-B846-0FAC08150242} - System32\Tasks\{73EC5C7E-0062-4AC0-B03F-37BB37CE0982} => C:\Windows\system32\pcalua.exe -a C:\Users\y\Desktop\hgoy\Gothic2_PlayerKit-2.6f.exe -d C:\Users\y\Desktop\hgoy Task: {D0DFA0CB-D199-412B-8F59-A3DF0B6F58A9} - System32\Tasks\geektonete5a => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" geekto.net/e5a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {1a13ba35-8e36-11e7-be76-0021851c1889} - F:\Autorun.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {fe1ba20b-9d36-11e7-82d5-0021851c1889} - H:\Autorun.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {2365d9f3-9463-11e7-868c-0021851c1889} - G:\Setup.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {e0ba16ff-3659-11e8-bffa-0021851c1889} - G:\setup.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {4fc0677c-5a8a-11e8-b894-0021851c1889} - E:\stp-fm2017.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {814195b2-12e2-11e8-986d-0021851c1889} - E:\stp-fm2017.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {fbfea845-1231-11e8-b916-0021851c1889} - E:\stp-fm2017.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: E - E:\Setup.exe ShortcutTarget: Facebook Messenger.lnk -> C:\Users\y\AppData\Local\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe (Brak pliku) GroupPolicy: Ograniczenia - Windows Defender GroupPolicy\User: Ograniczenia ? CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms} HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms} HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości 2018-07-26 22:39 - 2018-07-26 22:40 - 007417040 _____ (Malwarebytes) C:\Users\y\Downloads\adwcleaner_7.2.2_www.INSTALKI.pl.exe 2017-09-27 22:43 - 2017-09-27 22:43 - 007327744 _____ () C:\Users\y\AppData\Local\agent.dat 2017-09-27 22:43 - 2017-09-27 22:43 - 000070800 _____ () C:\Users\y\AppData\Local\Config.xml 2017-09-27 22:42 - 2017-09-27 22:42 - 000140800 _____ () C:\Users\y\AppData\Local\installer.dat 2017-09-27 22:43 - 2017-09-27 22:43 - 000005568 _____ () C:\Users\y\AppData\Local\md.xml 2017-09-27 22:43 - 2017-09-27 22:43 - 000126464 _____ () C:\Users\y\AppData\Local\noah.dat 2017-09-27 22:43 - 2017-09-27 22:43 - 001899389 _____ () C:\Users\y\AppData\Local\Techfan.tst 2017-09-27 22:43 - 2017-09-27 22:43 - 000032038 _____ () C:\Users\y\AppData\Local\uninstall_temp.ico CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\y\AppData\Local\Mozilla C:\Users\y\AppData\Roaming\Mozilla C:\Users\y\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\y\AppData\Local CMD: dir /a C:\Users\y\AppData\LocalLow CMD: dir /a C:\Users\y\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Symbol > Więcej narzędzi > Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Symbol > Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Przywróć ustawienia do wartości domyślnych. Zakładki, historia i hasła nie zostaną naruszone. Symbol > Ustawienia > sekcja Wyszukiwarka > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
  5. AdGuard opublikował raport, w którym wychodzi na jaw, że 11 milionów użytkowników aplikacji i rozszerzeń spod szyldu Big Star Labs może być szpiegowanych. "Big Star Labs" spyware campaign affects over 11,000,000 people Chrome Extensions, Android and iOS Apps Caught Collecting Browsing Data Lista potencjalnie zagrożonych aplikacji:
  6. Pliki ustawień przeglądarki Google Chrome zostały zmodyfikowane przez Adware.Elex, wymiana profilu powinna to załatwić (utracisz wszystkie dane z przeglądarki): Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby. Po tym zabiegu ponów skan Malwarebytes i przedstaw wyniki. Dostarcz również nowy zestaw raportów FRST.
  7. Raporty nie wykazują oznak infekcji. Komentując treść tematu: Malwarebytes zasygnalizował wykrycie zagrożenie PUP.Optional.AuslogicsBoostSpeed, które jest powiązane z instalacją Auslogics BoostSpeed 8. Ten program w sam sobie infekcją nie jest, rekomendacja usunięcia przez Malwarebytes wynika m.in. z:- usuwania nieprawidłowych wpisów w rejestrze metodą, która jest odradzana przez firmę Microsoft. - agresywnej techniki reklamowej. Pod ocenę indywidualną pozostawiam wybór deinstalacji programu. Detekcje Microsoft Security Essentials:- BrowserModifier:Win32/Sasquor i BrowserModifier:Win32/SupTab to programy typu adware. Przypuszczalnie zaciągnięte metodą Asystenta pobierania. Wyizolowane nei stanowią zagrożenia. Podaj proszę ścieżki detekcji. - Trojan:Win32/Skeeyah.A!rfn - infekcja zaciągnięta prawdopodobnie wraz z crackiem licencyjnym do pakietu Malwarebytes (często widziana sytuacja w raportach). Microsoft Security Essentials / Windows Defender blokują tą infekcję w zarodku. Sugeruję wybrać inny program w zamian cracka: Lista darmowych i komercyjnych programów zabezpieczających. Pierwsze co przychodzi mi namyśl to, aby przeprowadzić Odświeżenie przeglądarki i reset synchronizacji. Być może wchodzisz na stronę, która ma zintegrowaną koparkę kryptowaluty (bardzo popularny szkodliwy trend w obecnym czasie). Ochronić się można wykorzystując rozszerzenie NoCoin (oparte o bazę skryptów) lub ograniczenie wykonywania JavaScript w przeglądarce. Oprogramowanie antywirusowe również wykazuję aktywność wobec niektórych zagrożeń tego typu. W razie pytań pozostaje do dyspozycji.
  8. Nie widzę śladów infekcji. To wszystko. Na koniec zastosuj DelFix oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. W razie pytań pozostaje do dyspozycji.
  9. Wszystko zostało pomyślnie wykonane, infekcja usunięta. Malwarebytes nie znalazł już żadnych zagrożeń. Miło mi, że mogłem pomóc. Pokaż mi jeszcze tylko jak wyglądają główne katalogi (chcę się upewnić, że nie ma tam już śladu infekcji i wiedzieć to w przypadku kolejnego podobnego tematu): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz plik Fixlog.txt
  10. RKill to program przygotowujący środowisko dla innych narzędzi - tylko i wyłącznie neutralizuje aktywne procesy malware. Nie usuwa w sam sobie złośliwego oprogramowania. Próbowałeś również ratować się pobierając ComboFix, a to narzędzie niezalecane do użytku na własną rękę (może być stosowane tylko przez osoby do tego przeszkolone). Komentując zaś raporty, widoczna jest infekcja ładowana za pomocą Harmonogramu zadań. Podobny temat: KLIK. Dezynfekcja oraz sprzątanie resztek po używanych programach do walki z malware (zostanie wyczyszczony bezpowrotnie również kosz): 1. Jeśli zajdzie potrzeba wykonaj z poziomu Trybu awaryjnego: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {28004C86-095A-42AF-8E7D-C8D04A80C821} - System32\Tasks\{0B01A3A9-E24A-05AD-02B0-76A83ED5FBB4} => "C:\Program Files\Google\Chrome\Application\chrome.exe" hxxp://dzoper.com/cl/?guid=ytnnqsdq7ts0mqv3t6gfrtcy1teym1qb&prid=1&pid=4_1324_0 Task: {767642D3-98C1-4E88-AD83-6285380F1751} - System32\Tasks\{8251EC64-BE2F-67D5-B059-41971F427E1D} => C:\Program Files\Common Files\eUIIBoV.exe [2009-07-14] (Microsoft Corporation) Task: {839D75B9-539C-4C7C-83AD-190EC5AFCC16} - System32\Tasks\{C20BEF74-944D-07C8-6C61-DDB55312F307} => C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe [2009-07-14] (Microsoft Corporation) C:\Program Files\Common Files\eUIIBoV.exe C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe FirewallRules: [{EA63F567-9471-438F-BB2A-E647682848CF}] => (Allow) C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe FirewallRules: [{E0DD1959-8AC0-4F53-9237-3A565B16067D}] => (Allow) C:\Program Files\Common Files\eUIIBoV.exe U3 aswbdisk; Brak ImagePath 2018-07-22 17:05 - 2018-07-22 17:08 - 000000000 ____D C:\ProgramData\HitmanPro 2018-07-22 16:39 - 2018-07-22 16:39 - 001780224 _____ (Bleeping Computer, LLC) C:\Users\Admin\Downloads\rkill-unsigned.exe 2018-07-22 15:20 - 2018-07-22 15:21 - 005659639 _____ (Swearware) C:\Users\Admin\Downloads\ComboFix.exe 2018-07-22 14:46 - 2018-07-22 14:43 - 007407312 _____ (Malwarebytes) C:\Users\Admin\Desktop\aner.exe 2018-07-22 14:46 - 2018-07-22 17:28 - 000000000 ____D C:\AdwCleaner Task: C:\Windows\Tasks\AdwCleaner_onReboot.job => C:\Users\Admin\Desktop\aner.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
  11. Raporty są zniekształcone - ucięte znaki ukośnika - "\" (przez wklej.to). Proszę użyć systemu załączników bądź skorzystać z pastebin.com
  12. Oprogramowanie zewnętrzne = oprogramowanie inne niż Windows. W menu klikalnym to sekcja Aktualizacje innych programów (Adobe Flash, Adobe Reader, Java, etc.).
  13. Miło mi, że mogłem pomóc. Na koniec zastosuj DelFix oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
  14. Wszystko pomyślnie wykonane, adware usunięte. Obecnie nie widzę niczego niepokojącego. Napisz proszę, czy problem ustąpił? W razie pytań pozostaje do dyspozycji.
  15. W raportach widoczne są obiekty adware, wykonaj następujące działania (zostaną wyczyszczone również resztki po oprogramowaniu, kosz i usunięty AutoKMS): 1. Przez Panel Sterowania odinstaluj adware / PUP: Your Software Deals 1.0.0. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\Komputronik\01.(AUDIT)_start-WDS.lnk C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\scarf\OneDrive\Pulpit\Asystent aktualizacji do systemu Windows 10.lnk C:\Users\scarf\Desktop\Media — skrót .lnk C:\Users\scarf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\MudRunner\uninstall-[cars]-35971-volvo-fmx-500-6x6.lnk C:\Users\scarf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\MudRunner\uninstall-[cars]-36088-zil-131-4x4.lnk C:\Users\scarf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\MudRunner\uninstall-[maps]-37360-forestry.lnk C:\Users\scarf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\MudRunner\uninstall-[maps]-37362-race-2.lnk ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> Brak pliku Task: {90E253BD-D92A-46FD-B3F9-21AF4BE7B658} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {C90B1540-1E36-46B8-BBBC-DA28D0EEC668} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2018-06-13] () C:\WINDOWS\AutoKMS HKU\S-1-5-21-2277654708-3986498821-1161186268-1002\...\MountPoints2: F - "F:\LaunchU3.exe" -a HKU\S-1-5-21-2277654708-3986498821-1161186268-1002\...\MountPoints2: {557243c1-bd4f-11e6-8a2e-708bcda7571c} - "F:\LaunchU3.exe" -a Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Spawa poboczna:
  16. OTL to przestarzałe i niefunkcjonalne już narzędzie. Proszę o nowy zestaw raportów FRST.
  17. Jednie ma być zaznaczona opcja Remove disinfection tools (zostanie usunięty FRST).
  18. Przycisk "Dotacji" - wsparcie finansowe dla forum (klik w obrazek PayPal lub Bank), pomoc jest udzielana zawsze darmowo, ale tak, jeśli ktoś chce nas wesprzeć to dziękujemy! Zastosuj DelFix (kasacja używanych narzędzi - FRST, inne raporty) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
  19. Rozumiem, skoro problem z połączeniem się już rozwiązał zadanie można było pominąć. W raportach nie widzę już niczego niepokojącego. Widzę, że używana była masa programów zabezpieczających, sugeruję doczyścić finalnie po nich resztki: Avast! Uninstall Utility, AVG Remover, Dr. Web Anti-Virus Remover, Emsiclean. Czy możemy przejść do finalizacji tematu? W razie pytań pytań pozostaje do dyspozycji.
  20. Dysk wygląda w porządku. Kod błędu DRIVER_IRQL_NOT_LESS_OR_EQUAL oznacza, że ​​coś może być nie tak ze sterownikiem urządzenia, pamięcią komputera lub oprogramowaniem antywirusowym. ==================== Centrum zabezpieczeń ======================== AV: Baidu Antivirus (Enabled - Up to date) {0B023102-4312-4570-585A-1BAAA3570E16} AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B} AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96} AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} AS: Baidu Antivirus (Enabled - Up to date) {B063D0E6-6528-4AFE-62EA-20D8D8D044AB} Masz zainstalowane dwa zewnętrzne oprogramowania zabezpieczające. Być może istnieje między nimi konflikt. Sugeruję odinstalować, któreś z nich na próbę (dedykowane deinstalatory). Na forum Malwarebytes jest trochę tematów związanych z tym błędem (KLIK / KLIK). Głównie problem techniczny z oprogramowaniem innego producenta.
  21. Etiologia tego błędu może być bardzo obszerna. Przyczyną mogą być manipulację w obrębie ustawienia security.tls.version.max. Przypuszczalnie podczas dezynfekcji systemu doszło do jakiegoś uszkodzenia (reset Mozilli przywróci wszystko do ustawień domyślnych - jeśli to nie przyniesie rezultatów, będziemy myśleć dalej). Jak teraz wygląda sytuacja z Operą? Jeśli zaś chodzi o raporty to widoczne są drobne pozostałości po adware / PUP. Przy okazji: sprzątam system z resztek po oprogramowaniu / zostanie również wyczyszczony kosz. Akcja (głównie odkręcanie potencjalnych szkód): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bonjour\About Bonjour.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\Ewelina\Desktop\Programy\Adobe Acrobat DC.lnk C:\Users\Ewelina\Desktop\Gry\Gra Milionerzy 2.lnk ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> Brak pliku Task: {376D9B0B-EDF0-4D45-8529-DF19C491FFE4} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku VirusTotal: C:\WINDOWS\System32\WinBioPlugIns\FaceFodUninstaller.exe HKLM-x32\...\Run: [] => [X] SearchScopes: HKU\S-1-5-21-2858574783-512157174-4100705752-1001 -> {c2b8e594-d284-ef0b-2c66-48a9c98914bc} URL = hxxps://search.gmx.com/web/result?origin=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=301&p_w=y0w45&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF Plugin HKU\S-1-5-21-2858574783-512157174-4100705752-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] U0 Partizan; system32\drivers\Partizan.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Skorzystaj z zainstalowanej aplikacji Malwarebytes Anti-Malware. Wykonaj całościowy skan systemu, ewentualne detekcje pozostaw, nic nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
  22. Potwierdzam to co wcześniej napisała Jessica - w raportach brak oznak infekcji. Wymagana szersza diagnostyka: 1. Dostarcz do analizy plik zrzutu pamięci, w tym celu skopiuj na pulpit folder C:\Windows\Minidump, spakuj go (np. za pomocą WinRAR), a następnie wstaw na hosting plików (np. na MediaFire). 2. Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.
  23. Wydaję mi się, że Opera ma wieloprocesowy system kart. To znaczy jedna otwarta karta = jeden aktywny proces. Ma to na celu zapobiec sytuacji, w której zawieszenie jeden karty spowoduje zawieszenie całej przeglądarki. Raporty częściowo pokazują mi tą sekcję, ja nie widzę tutaj niczego niepokojącego. Proszę wykonaj całościowy skan za pomocą Zemana Anti-Malware, dla "świętego spokoju", choć ja nie sądzę, że to problem infekcji po stronie systemu (a być może przeglądarki).
×
×
  • Dodaj nową pozycję...