-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
G DATA przeniosła do kwarantanny pliki ERUNT, który patrząc po MD5 i po nazwie nie jest szkodliwy - KLIK.
1. Przez panel sterowania odinstaluj: Popcorn Time (nie jestem pewny co do tej detekcji, więc jeśli program znasz i mu ufasz to możesz zostawić).
2. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShortcutTarget: Wysyłanie do programu OneNote.lnk -> C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTEM.EXE (Brak pliku) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku CHR StartupUrls: Profile 1 -> "hxxp://istart.webssearches.com/?type=hp&ts=1404513516&from=amt&uid=TOSHIBAXMK5055GSX_79RJS13JSXX79RJS13JS","hxxps://start.allianz.pl/","hxxps://www.google.pl/" Task: {0528E465-F2D0-4CD3-9B75-AA0A29C1127B} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku C:\Users\Bob\Desktop\Bob\AppData\Roaming\Microsoft\Word\662%20rodzic%20bez%20szpitala%2015%25304696493377610516\662%20rodzic%20bez%20szpitala%2015%25.doc.lnk C:\Users\Bob\Desktop\ASUS\System tool\ASUS InstantOn.lnk C:\Users\Bob\Desktop\ASUS\System tool\Power4Gear Hybrid.lnk C:\Users\Bob\Desktop\ASUS\Business tool\Adobe Reader X.lnk C:\Users\Bob\AppData\Roaming\Skype\My Skype Received Files\Bandicam.lnk C:\Users\Bob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
3. Zrób analizę urządzenia E:\ za pomocą programu UsbFix z opcji Listing oraz Research. Dostarcz raport z tego działania.
4. Zrób skan za pomocą Hitman Pro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport.
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
1. Przeprowadź skanowanie za pomocą Malwarebytes, dla wszystkich wyników zastosuj opcję przenieś do kwarantanny.
2. Wygeneruj nowe raporty FRST.
-
Praktycznie nic się nie przywróciło z infekcji.
Drobniutka poprawka:
Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SteelSeries\SteelSeries Engine 3\Uninstall SteelSeries Engine 3.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Word\skrót305627793764937439\skrót.docx.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1 (Debug Log).lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1.lnk
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt). Napisz czy występują jeszcze jakieś problemy. -
Windows Defender działa, nie pojawiają się żadne komunikaty. Nie mogę go jednak zaktualizować. Wchodząc poprzez centrum zabezpieczeń, w zakładce z Defenderem widnieje komunikat, że jest nieaktualny. Klikam przycisk "Aktualizuj teraz" i rusza, lecz zatrzymuje się po sekundzie.
Sama usługa została pomyślnie odbudowana, spróbuj wejść w Tryb awaryjny Windows i zmień nazwę folderu C:\Windows\SoftwareDistribution np. na C:\Windows\SoftwareDistribution.old. Sprawdź czy nastąpiła poprawa.
Natomiast po uruchomieniu tej facebook'owej aplikacji (HappyAcres) dzieją się cuda. Aplikacja uruchamia się w nieskończoność i strasznie muli. Dla jasności sytuacji odpaliłem ją również w Operze. Rezultat jest taki sam.
Czy zatem jest to kwestia samej aplikacji czy też być może sprzętu? Systemu? (stara wersja).
To problem chyba po stronie aplikacji, a nie Twojej.
-
Używałem takich programów jak: AdwCleaner i Malwarebytes. Liczę na pomoc.
Dostarcz raporty z tych działań oraz zestaw logów z narzędzia Farbar Recovery Scan Tool.
-
2. Jeżeli chodzi o odinstalowanie UCBrowser problem jest taki że folder UCBrowser w ogóle nie istnieje w program files x86
Pomyliłem ścieżki dostępu, ale już trudno, bo po programie i tak zostały tylko resztki.
Poprawki:
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: C:\Users\ggg\AppData\Local\UCBrowser C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Program Files (x86)\Enigma Software Group Task: {44E47B90-F1B6-487F-B8D7-17CF3B0E695C} - System32\Tasks\SpyHunter3 => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter3.exe EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać nowych logów, ani raportu wynikowego pliku Fixlog.txt). Podsumuj obecną sytuację.
-
OK. Dziękuję i wzajemnie!
-
Kliknij: Windows + R > services.msc > odnajdź usługę Windows Defender > ustaw uruchamianie na tryb Automatyczny > Zresetuj komputer > Sprawdź rezultaty > Działa > Idziesz dalej z krokami.
Nie działa > poinformuj mnie o tym.
-
W raportach brak oznak infekcji, w spoilerze działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, martwych wpisów oraz szczątek po przeglądarce FireFox.
Korzystasz z rozwiązania firmy Qihoo, więc pozwolę sobie zacytować fragment z tematu picasso:
Qihoo - Z firmą są związane liczne kontrowersje oraz afera z manipulowaniem wyników w testach. Ponadto, raporty na temat reklam produkowanych przez program. Pod ocenę indywidualną czy produkt jest godny zaufania.
Jeśli chodzi o problem z siecią to problem nie na miarę mojej specjalizacji, najlepiej to poczekaj na moderatora tego działu, czyli DawidS28.
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2270930814-2333390826-4270964841-1000\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = U0 aswVmm; Brak ImagePath S3 dcdbas; system32\DRIVERS\dcdbas64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Bogusia\AppData\Local\Mozilla C:\Users\Bogusia\AppData\Roaming\Mozilla C:\Users\Bogusia\AppData\Roaming\Profiles EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).
-
1. Podczas deinstalacji FireFoxa nie miałem możliwości wyboru czegokolwiek, proces przebiegł od początku do końca automatycznie.
Ja podałem to awaryjnie, bo nie pamiętam jak przebiega deinstalacja każdej przeglądarki (a powinienem! )
2. Po przeprowadzeniu "Napraw" w FRST komputer "nie wstał" padł na ekranie "Zapraszamy" zaraz po wyborze użytkownika. Za drugim razem udało się.
OK.
3. W chwili obecnej korzystam z Opery. Czy w tych okolicznościach instalować ponownie FIrefoxa?
Jak chcesz, teraz Firefox powinien działać lepiej.
Usługą Windows Defender jest kompletnie zdewastowana, praktycznie jej nie ma, więc nic dziwnego, że się nie uruchamia i zwraca błąd.
Rekonstrukcja:
1. Otwórz Notatnik w nim wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal.
Zresetuj system.
2. Uruchom SystemLook i oknie programu wklej:
:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0 /s
Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.
3. Zrób też nowy raport z Farbar Service Scanner.
4. Sprawdź czy Windows Defender już działa.
-
SpyHunter jest programem wątpliwej reputacji, cytuję z tematu picasso:
SpyHunter - Skaner wątpliwej reputacji bardzo silnie forsowany w wynikach Google i stosujący techniki manipulacji skłaniające do instalacji. Na Google cała masa wysoko pozycjonowanych opisów "usuwania malware" skonstruowanych w taki sposób, by pobrać SpyHunter jako cudowny darmowy lek na daną infekcję. Po instalacji okazuje się, że jest to program płatny. Niestety SpyHunter raczej nie jest wykrywany i usuwany, gdyż każde takie podejście kończy się sprawą w sądzie - przykład z AdwCleaner.To jak postąpisz to Twoja decyzja.
W raportach widoczne infekcji adware / PUP, od razu przechodzimy do działań.
1. Wejdź do folderu C:\Program Files (x86)\UCBrowser i spróbuj z niego uruchomić deinstalator (uninstall.exe).
2. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
HKLM\...\RunOnce: [GrpConv] => grpconv -o
HKLM\...\RunOnce: [wd] => C:\Windows\Temp\g5561.tmp.exe [252416 2016-12-28] () HKU\S-1-5-18\...\Run: [] => 0
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2169502771-1325052205-2191854498-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
OPR Extension: (Fast search) - C:\Users\ggg\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-25]
S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X]
S3 dtldrvhelp; \??\c:\program files\safiplayer\dtldrvhelp64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
NETSVCx32: GmSvc -> C:\Program Files (x86)\LDSGameCenter\GmSvc.dll ==> Brak pliku2016-12-25 02:40 - 2016-12-25 02:40 - 7316480 _____ () C:\Users\ggg\AppData\Roaming\agent.dat2016-12-25 02:39 - 2016-12-25 02:39 - 0140288 _____ () C:\Users\ggg\AppData\Roaming\Installer.dat2016-12-25 02:40 - 2016-12-25 02:40 - 0018432 _____ () C:\Users\ggg\AppData\Roaming\Main.datC:\Windows\Temp\g5561.tmp.exe
C:\ProgramData\cis7407.exe
C:\ProgramData\cmdres.dll
Task: {4F09A7B6-FE78-4979-9A33-C4E06D43EAED} - System32\Tasks\gggDecompensatingFodderingV2 => Rundll32.exe HijackerSupernova.dll,main 7 1 Task: {5DEE1CE0-2959-4993-942D-489A61EB6E58} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {C48182D4-37BC-4FD8-BD21-38D7610F4AA8} - System32\Tasks\59548362d1t1795256 => Rundll32.exe "C:\ProgramData\59548362d1t1795256\59548362d1t1795256.dll",DMT ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=SD0H20014L1TH55103RX_LITEONLDH-256V2S&tm=1449317201
ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->
ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\ggg\AppData\Local\Mozilla
C:\Users\ggg\AppData\Roaming\Mozilla C:\Users\ggg\AppData\Roaming\Profiles
Hosts:
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Wyczyść Google Chrome:- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Dostarcz mi nowe raporty FRST.
-
Zi84
Zrób mi nowy zestaw raportów FRST.
apostrofy
Dziękuję za pomoc, masz rację podałem złą ścieżkę. Natomiast, następnym razem (zgodnie z regulaminem) poinformuj mnie o tym na PW, a ja na pewno wspomnę o Twojej uwadze w poście.
-
ponieważ za każdym razem gdy mam właśnie te problemy z playlistą i tak dalej adw znajduje wirus w przeglądarce.
To nie ma ze sobą związku, zresztą po deinstalacji Google Chrome, AdwCleaner już niczego nie będzie wykrywał
Jeżeli sądzisz że to mój 2 problem powiesz mi gdzie mam zrobić 2 temat by temu zaradzić
Widzę, że już założyłeś temat w dziale Windows 7, - a to odpowiedni dział to tego problemu.
PS. dziękuje za wszelką pomoc , odezwę się jak tylko przeinstaluje chromę i pobędę troszkę na niej.OK.
-
Problemy czysto infekcyjne załatwione, więc możemy iść dalej.
1. Komunikat dotyczący błędu Defendera pokazujący się po uruchomieniu komputera, pokazuje się w dalszym ciągu.Na razie pobór danych o stanie usługi Windows Defender w Twoim systemie.
1. Uruchom SystemLook i oknie programu wklej:
:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /sKliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.
2. Zrób też raport z Farbar Service Scanner.
2. Przeglądarka bez spektakularnych zmian.Przeinstalujemy przeglądarkę na czysto (wszystkie dane związane z przeglądarką zostaną usunięte).
- Upewnij się, że synchronizacja jest wyłączona: KLIK.
- Przez panel sterowania odinstaluj przeglądarkę Mozilla FireFox (w trakcie deinstalacji zaznaczasz wszystkie opcje dot. usunięcia danych).
Otwórz Notatnik w nim wklej:
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\IZA\AppData\Local\MozillaC:\Users\IZA\AppData\Roaming\MozillaC:\Users\IZA\AppData\Roaming\ProfilesC:\Program Files (x86)\Mozilla FirefoxC:\ProgramData\MozillaEmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.Nie dostarczaj żadnych raportów z tego działania, sprawdź jak zachowuje się przeglądarka. -
Zaraz dodam świeże logi, plik z usuwania skasowałem omyłkowo, ale wszystko było zrobione pomyślnie
Przecież napisałem, że nie musisz dostarczać żadnych raportów i prosiłem również o podsumowanie sytuacji.
Na tych skrótach nie mam takiej opcji jest tylko opcja przypnij do menu startOdpowiem na to pytanie za chwilę, bo jest niepriorytetowe.
-
W raportach brak oznak infekcji, więc problem z połączeniem internetowym jest pozainfekcyjny.
Temat przenoszę do działu Sieci.
-
Czy to ma związek z naszymi działaniami?
To zależy co usunąłeś w Malwarebytes. Na przyszłość: wykonuj tylko to co ja zleciłem w trakcie pomocy.
Postanowiłem przywrócić system sprzed 4 dni.To mogło przywrócić wszystko co do tej pory skorygowałem, więc jedziemy od nowa: poproszę nowe raporty FRST.
-
AdwCleaner już nic nie wykrył. Poprawki:
Otwórz Notatnik w nim wklej:
CloseProcesses:CreateRestorePoint:GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.Nie musisz dostarczać już żadnych raportów.Podsumuj obecną sytuację.Przywracania systemu nie włączałemAle następnym razem, gdy będziesz prosił o pomoc proszę to zrobić.
Jeszcze mały problem jak usunąć pozostałości po programach które już nie istnieją a pokazują się w menu start po ich wpisaniu
Menu Start: wpisujesz nazwę danego programu > klik PPM na niego > usuń z listy.
-
Wyniki z AdwCleaner jadą do usunięcia, raporty wyglądają już OK.
Uruchom AdwCleaner przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania.
Podsumuj obecną sytuację.
-
Atakuj do Windows 7 - tam też przenoszę Twój temat.
-
-
AdwCleaner nie może usunać modyfikacji preferencji w Google Chrome, robienie tego ręcznie przeze mnie zajmie więcej czasu niż przeinstalowanie przeglądarki na czysto.
- Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
- Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTM
- Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki
- Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
Czym przeskanować system aby upewnić się że wszystko zostało naprawione?
Już niczym, HitmanPro zawiera w sobie silnik Kasperskiego oraz BitDefendera, a to zdecydowanie liderzy w zakresie wykrywania złośliwego oprogramowania.
-
W raportach brak oznak infekcji, a problem przez Ciebie opisany raczej ma podłoże kompletnie pozainfekcyjne. W spoilerze działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, martwych usług oraz niepotrzebnej mapy adresów w Internet Explorer.
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: Winlogon\Notify\ScCertProp: wlnotify.dll [X] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku ShortcutTarget: Powiadomienia monitorowania tuszu - HP Deskjet 1050 J410 series.lnk -> (Brak pliku) SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL = SearchScopes: HKU\S-1-5-21-382856504-3390691762-2710609008-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S4 BrowserDefendert; C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [X] C:\ProgramData\BrowserDefender S3 VGPU; System32\drivers\rdvgkmd.sys [X] U3 uxriqaow; \??\C:\Users\kps\AppData\Local\Temp\uxriqaow.sys [X] IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\alipay.com -> hxxps://alipay.com IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\alipay.com -> hxxp://alipay.com IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\alisoft.com -> hxxps://alisoft.com IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\alisoft.com -> hxxp://alisoft.com IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\taobao.com -> hxxps://taobao.com IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\taobao.com -> hxxp://taobao.com EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt). To tyle ze strony tego działu.
Virus
w Dział pomocy doraźnej
Opublikowano
Dostarczyłeś tylko 2 raporty z narzędzia Farbar Recovery Scan Tool, czyli FRST oraz ADDITION, a ma być jeszcze do tego raport SHORTCUT.
Raport dodaj używając opcji Edytuj w poście.