-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
-
W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów (w tym wpisów CLSID), martwych usług, pustych skrótów LNK oraz szczątek po programach (głównie po przeglądarce FireFox).
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku R0 aswVmm; Brak ImagePath S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] CustomCLSID: HKU\S-1-5-21-1637094009-3320285990-1007395668-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\macie\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1637094009-3320285990-1007395668-1001_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\macie\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1637094009-3320285990-1007395668-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\macie\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku Task: {9C001754-80DC-451F-9D01-D9E26EC19BAE} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat [2015-06-22] () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks\Uninstall Lightworks.lnk C:\Users\macie\Desktop\Nowy folder\Booking.com.lnk C:\Users\macie\Desktop\Nowy folder\Boost into Gaming Mode.lnk C:\Users\macie\Desktop\Nowy folder\Cool Edit Pro 2.1.lnk C:\Users\macie\Desktop\Nowy folder\Game Booster 3.lnk C:\Users\macie\Desktop\Nowy folder\Game Booster 4.lnk C:\Users\macie\Desktop\Nowy folder\Gameforge Live.lnk C:\Users\macie\Desktop\Nowy folder\LegendOnline.lnk C:\Users\macie\Desktop\Nowy folder\Metin2.lnk C:\Users\macie\Desktop\Nowy folder\Nero 2017.lnk C:\Users\macie\Desktop\Nowy folder\SlimCleaner Plus.lnk C:\Users\macie\Desktop\Nowy folder\Switch to Gaming Mode.lnk C:\Users\macie\Desktop\Nowy folder\Transformice.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\macie\AppData\Local\Mozilla C:\Users\macie\AppData\Roaming\Mozilla C:\Users\macie\AppData\Roaming\Profiles EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać nowych logów, ani raporty wynikowego (pliku Fixlog.txt).
-
Do kasacji:
PUP.Optional.OnlineIO, C:\PROGRAMDATA\Microleaves\Traffic Exchange, Brak akcji, [694], [335288],1.0.903 PUP.Optional.SpyHunter, C:\USERS\SCROP\DOWNLOADS\SH-REMOVER.EXE, Brak akcji, [1669], [331753],1.0.903
Z tym zrobisz co chcesz, bo chyba wiesz do czego to jest.
Trojan.Boaxxe, C:\PROGRAM FILES (X86)\REMOVEWAT 2.2.7\WINDOWS_ACTIVATON.EXE, Brak akcji, [80], [357022],1.0.903
HackTool.WindowsActivation, C:\USERS\SCROP\DOWNLOADS\WIN7 ACTIVATOR V2.2.2 + WAT FIX.ZIP, Brak akcji, [11906], [153298],1.0.903
Podsumuj obecną sytuację.
-
Prosiłem tylko o raport z opcji Szukaj, a nie z opcji Szukaj i Oczyść. AdwCleaner to dobre narzędzie, ale trzeba z nim uważać. Niech już będzie.
1. Nie skasowałeś poniższego profilu, więc zrób to.
C:\Users\Scrop\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
2. Wykonaj pełne skanowanie programem Malwarebytes (masz zainstalowany) i dostarcz napisz co wykrył, niczego nie usuwając.
-
Nawet po reinstalacji występuję ten błąd?
Na pasku AdwCleaner wybierz Plik następnej z rozwiniętego Menu kliknij w Odinstaluj i dopiero po tym działaniu pobierz AdwCleaner z podaj strony i przeprowadź pkt. 3.
-
KVRT znalazł jeszcze 126 zagrożeń. Niemal wszystkie z opisem Email-Worm.Win32.Brontok.q. Tylko jeden z opisem Trojan.Win32.Patched.hp. Wszystkie Brontok usunąłem, a trojana wyleczyłem (screen).
Rozumiem, że skan był powtarzany do wyniku zero infekcji (tak jak prosiłem)?
Jeśli tak to poproszę o podsumowanie sytuacji z Twojej strony.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000000 (0)
A to nadal siedzi, u mnie w systemie klucz wygląda tak:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"= 0x0000000001 (1)
Poczekam z tym na picasso.
-
Tak jak myślałem, to dla mnie trochę czarna magia, więc ja tutaj na nic. Temat przenoszę do działu Windows 7, skąd najlepiej poczekasz na odpowiedź moderatora działu mgrzeg.
-
-
System jest zainfekowany infekcją automatycznie uruchamiającą się na starcie systemu (i to jest chyba powiązane z aktywatorem Windows), ponad to system boryka się z problem ataku nowoczesnego adware (wariant Adware.Elex) m.in modyfikującego usługę Themes dodając niedomyślne ustawienie DependOnService (i to przypuszczalnie wykryło narzędzie SFC), przez które nie działa Ci w ogóle usługa kompozycji Aero. Gdyby tego było mało to przeglądarka Google Chrome jest zarażona prefabrykowanym profilem adware, więc nic dziwnego, że występują przekierowywania.
Odnosząc się do pytania o format to uważam, że jest on całkowicie zbędny, bo z aktualną wiedzą jestem w stanie to wszystko wyleczyć. Zaczynamy.
1. Otwórz Notatnik w nim wklej:CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\tukiloz-x32: C:\Users\Scrop\AppData\Local\tukiloz.dll [X]
HKU\S-1-5-21-2482533737-4085879092-1565963746-1000\...\Run: [YPRPack] => regsvr32.exe C:\Users\Scrop\AppData\Local\YPRPack\zxqtilzk.dll HKU\S-1-5-18\...\Run: [] => 0
HKLM\...\Providers\tvuf9a0e: C:\Program Files (x86)\Curoydrerguse Log\local64spl.dll [292352 2016-12-30] ()
C:\Program Files (x86)\Curoydrerguse Log
ShellExecuteHooks: Brak nazwy - {9C8A04D0-CAA5-11E6-96ED-64006A5CFC23} - -> Brak pliku
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [820224 2016-12-31] () [brak podpisu cyfrowego] S2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [X]
S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
Task: {DFEEDDCE-338E-4D17-842C-96F1D9BB434E} - System32\Tasks\8n48o5q70422 => Rundll32.exe "C:\ProgramData\8n48o5q70422\8n48o5q70422.dll",noqlaf ShortcutWithArgument: C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Scrop\AppData\Local\Mozilla
C:\Users\Scrop\AppData\Roaming\Mozilla
C:\Users\Scrop\AppData\Roaming\Profiles
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Obecny profil przeglądarki Google Chrome jest prefabrykowany i wstawiony przez adware. Należy go całkowicie skasować i założyć nowy.
Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Po utworzeniu nowego profilu / osoby, zaloguj się na niego > ponownie przechodzisz to karty Ustawień, następnie do Osoby i usuwasz wszystkie poprzednie osoby.
3. Ze względu na uszkodzony AdwCleaner pobierz nowy (KLIK) i zrób raport wykrytych zagrożeń z opcji Szukaj.
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Przypuszczalnie narzędzie naprawy Windows znalazło uszkodzenie właśnie w usłudze Themes. Przypuszczalnie narzędzie naprawy Windows znalazło uszkodzenie właśnie w usłudze Themes. -
Raporty zostały wygenerowane przy użyciu przestarzałej wersji FRST, bo z lipca 2016 roku.
Wygeneruj nowe przy użyciu najnowszej wersji narzędzia - KLIK.
-
Ja ze swojej strony życzę Szczęśliwego Nowego Roku 2017 dużoooo zdrowia, pogody ducha i kasiorki
Dziękuję i wzajmenie!
W raportach brak oznak infekcji, w spoilerze dziania poboczne, raczej nie mające związku z problemem.
Temat przenoszę do działu Windows 10.
1. Włącz przywracanie systemu.
2. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: U3 idsvc; Brak ImagePath Task: {06664D31-D30D-4746-9B52-EB6BF8B1F2FD} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {1F12D9ED-71C7-43CD-A4A5-44CF76FA172D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {20286234-3059-4DF6-8BB5-E4188B182F59} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {3301D009-C590-4FD8-A843-8E5C4E0EEF26} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {4370FDE9-C768-4510-95CA-C4E9633532A8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {45AEEE54-6F04-4E0C-800C-2DB64AF5CEBB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4EF341D6-4087-46B4-BE7C-2E8CF3ABD60A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {6ED0CE8E-66C9-4E62-A97D-6CA8BEE5D554} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7536C3A2-149A-40DE-9244-CD76D42B124D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {9FF6D684-2463-400B-AD7A-635A9C02993D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E4E7932E-1C4D-4F25-8F79-100B2392E772} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {FA5C7F75-DE46-4931-82E3-F52FD2BC3BA5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku HKLM\...\regfile\DefaultIcon: C:\Users\Public\Documents\Stardock\IconPackager\Fear\Fearomone Icon 55.ico,0 HKLM\...\batfile\DefaultIcon: C:\Users\Public\Documents\Stardock\IconPackager\Fear\Fearomone Icon 48.ico,0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kodeki\Codec Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kodeki\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kodec Pack\Codec Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Dezinstalacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Dodaj urządzenie.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Readme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Rejestracja produktu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Witryna pomocy technicznej.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo\Ashampoo Burning Studio 18\Backup Extractor.lnk C:\Users\Kamilo\AppData\Roaming\Microsoft\Word\Ela%20Szumotalska%20cv%202015304692724290736869\Ela%20Szumotalska%20cv%202015.rtf.lnk C:\Users\Kamilo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\AVG 2015.lnk C:\Users\Kamilo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Centrum obsługi HP.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Kamilo\AppData\Local\Mozilla C:\Users\Kamilo\AppData\Roaming\Mozilla C:\Users\Kamilo\AppData\Roaming\Profiles EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Nie musisz dostarczać żadnych raportów. To tyle ze strony tego działu.
-
Poprawione, spróbuj teraz.
-
Dziś po zakończeniu skanowania za pomocą FSS program Malwarebytes wyświetlił komunikat o wykryciu potencjalnego zagrożenia: PUM.Optional.DisableShowHelp, który podlega obecnie kwarantannie.
OK.
Dodatkowo: w zakładce Historia w Malwarebytes mam 66 wpisów poddanych kwarantannie. Czy mam usunąć wszystkie pliki?Tak, ale one mają zostać usunięte z kwarantanny, a nie przywrócone z kwarantanny.
Jedziemy dalej z sprzątaniem:
1. Otwórz Notatnik w nim wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000001 (1) "DisableNotifications"= 0x0000000000 (0) "DoNotAllowExceptions"= 0x0000000000 (0)
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal.
2. Uruchom SystemLook i w oknie programu wklej:
:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /s
Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.
3. Wydaje mi się, że MBAM nie widzi dokładnie wszystkich plików, więc poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Skan powtarzaj do wyniku zero.
-
Thanks Luuk, but it's also your birthday, so happy birthday and (for all user) good luck in 2017
-
Malwarebytes unieszkodliwiła infekcje, teraz trzeba po niej posprzątać.
Pobierz najnowszą wersję FRST, starą skasuj. Na nowej wersji:
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-19\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
HKU\S-1-5-19\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-20\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
HKU\S-1-5-20\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
HKU\S-1-5-18\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1
AlternateShell: cmd-brontok.exe
U4 Alerter; Brak ImagePath
S4 IntelIde; Brak ImagePath
U4 Messenger; Brak ImagePath
S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]
U1 WS2IFSL; Brak ImagePath
2016-12-18 15:04 - 2016-12-18 15:04 - 0000051 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe"
EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Zrób raport z Farbar Service Scanner.
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [119808 2016-12-27] () [brak podpisu cyfrowego]
R2 Gubed_WMI; C:\Program Files (x86)\Gubed_WMI\Gubed_WMI.exe [109056 2016-12-23] () [brak podpisu cyfrowego]
RemoveDirectory: C:\Program Files (x86)\Gubed
RemoveDirectory: C:\Program Files (x86)\Gubed_WMI
RemoveDirectory: C:\Program Files (x86)\Firefox
2016-12-23 21:27 - 2016-12-27 12:33 - 00000000 ____D C:\Program Files (x86)\WinArcher
FirewallRules: [{5145B3CC-166D-4AE2-A1D4-991BA844CB76}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{DC0EE9A9-BFF5-4994-9664-A01DE16608DF}] => C:\Program Files (x86)\Firefox\Firefox.exe
EmptyTemp:
DeleteQuarantine:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program Files (x86)\Mozilla Firefox\firefox.exe -p > skasuj wszystkie profile > załóż nowy.3. Przeskanuj system przez Malwarebytes' Anti-Malware i przedstaw raport wynikowy.4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Coś mi się wydaję, że Tryb Awaryjny również jest uszkodzony.
W trybie normalnym uruchom SystemLook i w oknie programu wklej:
:reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot /s
Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.
-
-
Raporty zostały wygenerowane przy użyciu bardzo starej wersji narzędzia FRST (sprzed przeszło siedmiuset dni!).
Pobierz nową wersję (KLIK) i jeszcze raz zrób nowy zestaw raportów.
-
W raportach brak oznak infekcji. Czysto.
P.S. Tworzyłem przed chwilą post strictum z pewnym pytaniem i nadzieją iż mój post nie zostanie usunięty przez niego - a tu niespodziewanie wyskoczył dziwny blue-screen z odliczaniem po którym wystąpił reset.
Ciekawe bo nie zdarzało się to w ogóle wcześniej xD System nie ma żadnych symptomów infekcji, co najwyżej lekko zwolnił i zużywa więcej RAMu niż gdy był świeży, ale to też kwestia Win DAZ.. który utknął przy którejś aktualizacji.. Obecnie "ważnych" jest 52.
I tu pytanie, a nawet dwa.
Może nie wkleję bezpośredniego linku to nie otrzymam warna i postu w koszu - Czy skrypt (UUAWU) udostępniany przez użytkownika m4s na forum winclub jest bezpieczny/użyteczny i czy może przyczynić się do usunięcia pakietu który blokuje aktualizacje ?
Możesz podać link, tak będzie łatwiej.
-
Wszystkie pliki wykryte przez MBAM daj do usuwania i wygeneruj nowe raporty.
-
Polecamy się na przyszłość
-
Raporty wyglądają już w porządku, a skoro piszesz, że problem ustąpił to będziemy kończyć.
Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK oraz zapoznaj się z tematem jak nie dać się oprogramowaniu typu adware / PUP - KLIK.
mam pytanie czy teraz będę mógł się zalogować na konto chrome?Masz wszystko opisane na tej stronie: KLIK.
-
W raportach widać już tylko szczątki po adware / PUP. Podany błąd sugeruje, że była tutaj infekcja, podstawiająca prefabrykowany profil / rozszerzenie do przeglądarki Google Chrome.
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku U0 aswVmm; Brak ImagePath S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] Task: {6566CA38-1877-4183-8ADC-91807A77773D} - \Driver Booster SkipUAC (Andrzej) -> Brak pliku Task: {BAFC3BEF-1058-4795-9C25-048BE16A4C30} - \{082BAA99-0040-47ED-8E00-5A1B7455D8F1} -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gwent [GOG.com]\Gwent.lnk C:\User\Andrzej\AppData\Local\kemgadeojglibflomicgfeopkdfflnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Andrzej\AppData\Local\Mozilla C:\Users\Andrzej\AppData\Roaming\Mozilla C:\Users\Andrzej\AppData\Roaming\Profiles EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Wyczyść Google Chrome:
- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
Errory w RegSvr32 przy starcie windows
w Dział pomocy doraźnej
Opublikowano
To najważniejsze, bo to moje główne zadanie, aby w tym dziale rozwiązywać problemy infekcyjne.
Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe, a teraz już niepotrzebne) - KLIK.
Możesz już również skasować punkty przywracania systemu, aby w przeszłości nie odtworzyć kopi ze szkodnikiem - KLIK.
Teraz pozostało wyjaśnić Ci nieszczęsny error, więc tak: Ukmedia ma związek z aktywatorem Windows, a ja kompletnie nie wiem jak Ty kombinowałeś z tym aktywatorem, co robiłeś / usuwałeś, więc nie jestem w sanie Ci w tym pomóc.