Miszel03

To najważniejsze, bo to moje główne zadanie, aby w tym dziale rozwiązywać problemy infekcyjne. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe, a teraz już niepotrzebne) - KLIK. Możesz już również skasować punkty przywracania systemu, aby w przeszłości nie odtworzyć kopi ze szkodnikiem - KLIK. Teraz pozostało wyjaśnić Ci nieszczęsny error, więc tak: Ukmedia ma związek z aktywatorem Windows, a ja kompletnie nie wiem jak Ty kombinowałeś z tym aktywatorem, co robiłeś / usuwałeś, więc nie jestem w sanie Ci w tym pomóc.

OK. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Możesz również skasować punkty przywracania systemu, aby nie przywrócić przypadkowo szkodnika - KLIK.

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów (w tym wpisów CLSID), martwych usług, pustych skrótów LNK oraz szczątek po programach (głównie po przeglądarce FireFox).

Do kasacji: PUP.Optional.OnlineIO, C:\PROGRAMDATA\Microleaves\Traffic Exchange, Brak akcji, [694], [335288],1.0.903 PUP.Optional.SpyHunter, C:\USERS\SCROP\DOWNLOADS\SH-REMOVER.EXE, Brak akcji, [1669], [331753],1.0.903 Z tym zrobisz co chcesz, bo chyba wiesz do czego to jest. Trojan.Boaxxe, C:\PROGRAM FILES (X86)\REMOVEWAT 2.2.7\WINDOWS_ACTIVATON.EXE, Brak akcji, [80], [357022],1.0.903 HackTool.WindowsActivation, C:\USERS\SCROP\DOWNLOADS\WIN7 ACTIVATOR V2.2.2 + WAT FIX.ZIP, Brak akcji, [11906], [153298],1.0.903 Podsumuj obecną sytuację.

Prosiłem tylko o raport z opcji Szukaj, a nie z opcji Szukaj i Oczyść. AdwCleaner to dobre narzędzie, ale trzeba z nim uważać. Niech już będzie. 1. Nie skasowałeś poniższego profilu, więc zrób to. C:\Users\Scrop\AppData\Local\Google\Chrome\User Data\ChromeDefaultData 2. Wykonaj pełne skanowanie programem Malwarebytes (masz zainstalowany) i dostarcz napisz co wykrył, niczego nie usuwając.

Nawet po reinstalacji występuję ten błąd? Na pasku AdwCleaner wybierz Plik następnej z rozwiniętego Menu kliknij w Odinstaluj i dopiero po tym działaniu pobierz AdwCleaner z podaj strony i przeprowadź pkt. 3.

Rozumiem, że skan był powtarzany do wyniku zero infekcji (tak jak prosiłem)? Jeśli tak to poproszę o podsumowanie sytuacji z Twojej strony. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000000 (0) A to nadal siedzi, u mnie w systemie klucz wygląda tak: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000001 (1) Poczekam z tym na picasso.

Tak jak myślałem, to dla mnie trochę czarna magia, więc ja tutaj na nic. Temat przenoszę do działu Windows 7, skąd najlepiej poczekasz na odpowiedź moderatora działu mgrzeg.

OK.

System jest zainfekowany infekcją automatycznie uruchamiającą się na starcie systemu (i to jest chyba powiązane z aktywatorem Windows), ponad to system boryka się z problem ataku nowoczesnego adware (wariant Adware.Elex) m.in modyfikującego usługę Themes dodając niedomyślne ustawienie DependOnService (i to przypuszczalnie wykryło narzędzie SFC), przez które nie działa Ci w ogóle usługa kompozycji Aero. Gdyby tego było mało to przeglądarka Google Chrome jest zarażona prefabrykowanym profilem adware, więc nic dziwnego, że występują przekierowywania. Odnosząc się do pytania o format to uważam, że jest on całkowicie zbędny, bo z aktualną wiedzą jestem w stanie to wszystko wyleczyć. Zaczynamy. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Winlogon\Notify\tukiloz-x32: C:\Users\Scrop\AppData\Local\tukiloz.dll [X] HKU\S-1-5-21-2482533737-4085879092-1565963746-1000\...\Run: [YPRPack] => regsvr32.exe C:\Users\Scrop\AppData\Local\YPRPack\zxqtilzk.dll HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\Providers\tvuf9a0e: C:\Program Files (x86)\Curoydrerguse Log\local64spl.dll [292352 2016-12-30] () C:\Program Files (x86)\Curoydrerguse Log ShellExecuteHooks: Brak nazwy - {9C8A04D0-CAA5-11E6-96ED-64006A5CFC23} - -> Brak pliku R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [820224 2016-12-31] () [brak podpisu cyfrowego] S2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [X] S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {DFEEDDCE-338E-4D17-842C-96F1D9BB434E} - System32\Tasks\8n48o5q70422 => Rundll32.exe "C:\ProgramData\8n48o5q70422\8n48o5q70422.dll",noqlaf ShortcutWithArgument: C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Scrop\AppData\Local\Mozilla C:\Users\Scrop\AppData\Roaming\Mozilla C:\Users\Scrop\AppData\Roaming\Profiles Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Obecny profil przeglądarki Google Chrome jest prefabrykowany i wstawiony przez adware. Należy go całkowicie skasować i założyć nowy. Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Po utworzeniu nowego profilu / osoby, zaloguj się na niego > ponownie przechodzisz to karty Ustawień, następnie do Osoby i usuwasz wszystkie poprzednie osoby. 3. Ze względu na uszkodzony AdwCleaner pobierz nowy (KLIK) i zrób raport wykrytych zagrożeń z opcji Szukaj. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Przypuszczalnie narzędzie naprawy Windows znalazło uszkodzenie właśnie w usłudze Themes. Przypuszczalnie narzędzie naprawy Windows znalazło uszkodzenie właśnie w usłudze Themes.

Raporty zostały wygenerowane przy użyciu przestarzałej wersji FRST, bo z lipca 2016 roku. Wygeneruj nowe przy użyciu najnowszej wersji narzędzia - KLIK.

Dziękuję i wzajmenie! W raportach brak oznak infekcji, w spoilerze dziania poboczne, raczej nie mające związku z problemem. Temat przenoszę do działu Windows 10.

Poprawione, spróbuj teraz.

OK. Tak, ale one mają zostać usunięte z kwarantanny, a nie przywrócone z kwarantanny. Jedziemy dalej z sprzątaniem: 1. Otwórz Notatnik w nim wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000001 (1) "DisableNotifications"= 0x0000000000 (0) "DoNotAllowExceptions"= 0x0000000000 (0) Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal. 2. Uruchom SystemLook i w oknie programu wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum. 3. Wydaje mi się, że MBAM nie widzi dokładnie wszystkich plików, więc poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Skan powtarzaj do wyniku zero.

Thanks Luuk, but it's also your birthday, so happy birthday and (for all user) good luck in 2017

Malwarebytes unieszkodliwiła infekcje, teraz trzeba po niej posprzątać. Pobierz najnowszą wersję FRST, starą skasuj. Na nowej wersji: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-19\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32 HKU\S-1-5-19\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N HKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-20\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32 HKU\S-1-5-20\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N HKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32 HKU\S-1-5-18\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N HKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1 AlternateShell: cmd-brontok.exe U4 Alerter; Brak ImagePath S4 IntelIde; Brak ImagePath U4 Messenger; Brak ImagePath S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] U1 WS2IFSL; Brak ImagePath 2016-12-18 15:04 - 2016-12-18 15:04 - 0000051 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób raport z Farbar Service Scanner. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [119808 2016-12-27] () [brak podpisu cyfrowego] R2 Gubed_WMI; C:\Program Files (x86)\Gubed_WMI\Gubed_WMI.exe [109056 2016-12-23] () [brak podpisu cyfrowego] RemoveDirectory: C:\Program Files (x86)\Gubed RemoveDirectory: C:\Program Files (x86)\Gubed_WMI RemoveDirectory: C:\Program Files (x86)\Firefox 2016-12-23 21:27 - 2016-12-27 12:33 - 00000000 ____D C:\Program Files (x86)\WinArcher FirewallRules: [{5145B3CC-166D-4AE2-A1D4-991BA844CB76}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{DC0EE9A9-BFF5-4994-9664-A01DE16608DF}] => C:\Program Files (x86)\Firefox\Firefox.exe EmptyTemp: DeleteQuarantine: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program Files (x86)\Mozilla Firefox\firefox.exe -p > skasuj wszystkie profile > załóż nowy. 3. Przeskanuj system przez Malwarebytes' Anti-Malware i przedstaw raport wynikowy. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Coś mi się wydaję, że Tryb Awaryjny również jest uszkodzony. W trybie normalnym uruchom SystemLook i w oknie programu wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.

To jest dział, który zajmuję się leczeniem systemu pod kątem infekcji, a Tobie chyba nie dokończa o to chodzi (jeśli tak to napisz PW do mnie, albo do Rucka, a przeniesiemy temat do odpowiedniego działu na forum). Jeżeli jednak się mylę to dostarcz zestaw raportów FRST oraz GMER.

Raporty zostały wygenerowane przy użyciu bardzo starej wersji narzędzia FRST (sprzed przeszło siedmiuset dni!). Pobierz nową wersję (KLIK) i jeszcze raz zrób nowy zestaw raportów.

W raportach brak oznak infekcji. Czysto. Możesz podać link, tak będzie łatwiej.

Wszystkie pliki wykryte przez MBAM daj do usuwania i wygeneruj nowe raporty.

Polecamy się na przyszłość

Raporty wyglądają już w porządku, a skoro piszesz, że problem ustąpił to będziemy kończyć. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK oraz zapoznaj się z tematem jak nie dać się oprogramowaniu typu adware / PUP - KLIK. Masz wszystko opisane na tej stronie: KLIK.

W raportach widać już tylko szczątki po adware / PUP. Podany błąd sugeruje, że była tutaj infekcja, podstawiająca prefabrykowany profil / rozszerzenie do przeglądarki Google Chrome. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku U0 aswVmm; Brak ImagePath S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] Task: {6566CA38-1877-4183-8ADC-91807A77773D} - \Driver Booster SkipUAC (Andrzej) -> Brak pliku Task: {BAFC3BEF-1058-4795-9C25-048BE16A4C30} - \{082BAA99-0040-47ED-8E00-5A1B7455D8F1} -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gwent [GOG.com]\Gwent.lnk C:\User\Andrzej\AppData\Local\kemgadeojglibflomicgfeopkdfflnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Andrzej\AppData\Local\Mozilla C:\Users\Andrzej\AppData\Roaming\Mozilla C:\Users\Andrzej\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan) już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Napisz czy problem ustąpił.