Skocz do zawartości
Nadchodzące zmiany w logowaniu

Miszel03

Moderatorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    2 329

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Odpowiedzi opublikowane przez Miszel03

  1. Spowolnienie komputera - 100% użycia dysku

    w Windows 10

    Opublikowano

    W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów w harmonogramie zadań, usług oraz szczątek po programach (głównie po przeglądarce FireFox).

    Temat przenoszę do działu Windows 10.

    Otwórz Notatnik w nim wklej:
     

    CloseProcesses:
    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
    ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} =>  Brak pliku
    ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} =>  Brak pliku
    ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} =>  Brak pliku
    ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} =>  Brak pliku
    Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  Brak pliku
    S3 aswHdsKe; \??\C:\WINDOWS\system32\drivers\aswHdsKe.sys [X]
    U0 aswVmm; Brak ImagePath
    Task: {0A53A985-25E8-43FE-8B4A-28314FA4EA6A} - \WPD\SqmUpload_S-1-5-21-332462765-337916058-3896287125-1002 -> Brak pliku Task: {0CF68860-C45A-4005-8CAF-23990A66E5AB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {0EF1904C-7C6A-4A1E-BD69-894C531B3CFC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {1085C5F3-4D40-4D60-9F36-F11BA534861D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {356ADDB9-4EC2-453D-B18E-B1C9D573BCDD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {45365323-094A-4759-9132-99E2976AE50E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {68FD6A54-F2A4-4144-9B18-50B22061014F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {6981DBE7-563D-4F7D-BE07-58867F030B42} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {7B8031E4-4CC6-4DE6-901E-62E7E012B971} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A5C0B82A-63ED-4A37-BF49-ACFD87831C10} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {E90CE82F-FB4D-4726-BABC-624B5E832248} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {EB9FEE8D-ED90-43CC-B0DA-CFC556D47F87} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku C:\Users\Leszek\Desktop\Materiały DM\Twoje specjalizacje Leszku\Poszukiwanie i Wydobywanie\Prezentacja spec. poszukiwanie i wydobywanie.lnk
DeleteKey: HKCU\Software\Mozilla
    DeleteKey: HKCU\Software\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Mozilla
    DeleteKey: HKLM\SOFTWARE\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
    C:\Users\Leszek\AppData\Local\Mozilla
    C:\Users\Leszek\AppData\Roaming\Mozilla
    C:\Users\Leszek\AppData\Roaming\Profiles
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
     
    Nie musisz dostarczać żadnych nowych logów, ani raportu wynikowego.

     

  2. Problem z Windows 7 - nie działają kompozycje Aero

    w Windows 7

    Opublikowano

    No po sprawdzeniu, zniknęła mi przeglądarka Chrome, i Firefox.

     

    Zniknęły Ci tylko z skróty prowadzące do przeglądarek, a nie przeglądarki. Możesz je z powrotem utworzyć. FireFox utworzy ci nowy po wykonaniu pkt. 2.

     

    Zaś do Google Chrome: PPM na pulpit > Nowy > Skrót > Element docelowy: C:\Program Files\Google\Chrome\Application\chrome.exe > Dalej > Nazwij skrót np. Google Chrome > Zakończ.

     

    Poprawkowe działania dot. usunięcia adware:

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
Task: {3570A125-FE87-4A50-91A8-C2EA3A7B9B5E} - System32\Tasks\{506C0E67-6345-4EA3-A567-60DBC57428CC} => pcalua.exe -a "C:\Users\USER\Local Settings\Application Data\Bundled software uninstaller\biclient.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller"
Task: {EE45D21F-507D-47AE-A54B-A6B8E3237663} - System32\Tasks\{13EBBBE2-127C-4230-8E14-5D1EAD19B8E9} => pcalua.exe -a "C:\Users\USER\Local Settings\Application Data\Bundled software uninstaller\biclient.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller"
FirewallRules: [{C74D53B1-C809-435C-9D7A-23D91C013CE8}] => C:\Program Files (x86)\Coldjob\Application\chrome.exe
FirewallRules: [{F7E54260-A605-4CA8-A1DD-336920EA2877}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{F3D342D1-63D3-450A-881D-308719CCD4F7}] => C:\Program Files (x86)\Firefox\Firefox.exe
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    2. Przeinstaluj na czysto przeglądarkę Mozilla FireFox - KLIK (wykonujesz punkt Usuwanie FireFoksa oraz Usuwanie danych osobistych i ustawień FireFoksa).

     

    3. Zrób log FRST (już bez Addition i Shortcut).

  3. Nie uruchamiają się programy, wolno pracujący system

    w Dział pomocy doraźnej

    Opublikowano

    Całkowicie źle przeprowadziłeś pkt. 1, w skutek czego skrypt w ogóle się nie wykonał. Zawartość skryptu nie ma być w jeden linijce, lecz tak jak jest to zaprezentowane w specjalnym tagu Noparase.

     

    1. Przeprowadź jeszcze raz pkt. 1. Teraz przesyłam Ci już gotowy plik Fixlist.txt - Twoim zadaniem jest go tylko umieścić na pulpicie (ale przedtem pamiętaj, aby skasować stary, zły Fixlist.txt). Dopiero gdy plik będzie na pulpie uruchom FRST i kliknij w Napraw (Fix), czekaj cierpliwie, nie przerywaj tego działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST (czyli w Twoim przypadku na pulpicie) powstanie plik fixlog.txt.

     

    Fixlist.txt

     

    2. W AdwCleaner jeszcze raz przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania.

     

    3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

  4. Nie uruchamiają się programy, wolno pracujący system

    w Dział pomocy doraźnej

    Opublikowano

    Powiedział, że czyścił program CCleanerem, usłyszał też o ComboFixie, tylko nie zadał sobie trudu sprawdzenia "czym to się je" i nawet nic nie poczytał na necie, tylko dziś przed pracą odpalił na szybko 

     

    Nic gorszego nie mógł zrobić. Przekaż znajomemu, żeby się z tym zapoznał - KLIK

    Omówienie pomocy:

    • Pomoc na miarę tego działu, czyli dezynfekcja systemu pod względem infekcji i kosmetycznego stanu systemu.
    • Kierownictwo do odpowiedniego działu, w którym pomogą rozwiązać problem nie dot. infekcji, jeśli ja nie będę w stanie.

     

    W raportach widoczne infekcje adware oraz puste usługi / wpisy, trzeba również pozbyć się resztek po przeglądarce FireFox.

     

    1. Przez panel sterowania odinstaluj:

    • Jungle Net (Adware)
    • key-find uninstall (Adware)
    • AVG SafeGuard toolbar (zbędnik)
    2. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-160238566-1350474344-338097376-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
SearchScopes: HKU\S-1-5-21-160238566-1350474344-338097376-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  Brak pliku
S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\MobileTrans\DriverInstall.exe" [X]
CHR Extension: (SnapMyScreen) - C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnacmlfckijnmogihjeaojfnfiplhhpj [2016-12-13]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Kasia\AppData\Local\Mozilla
C:\Users\Kasia\AppData\Roaming\Mozilla
C:\Users\Kasia\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    3. Wyczyść Google Chrome:

    • Jeśli skrót nie zadziała, spróbujesz uruchomić Google Chrome przez tą ścieżkę C:\Program Files\Google\Chrome\Application\Chrome.exe
    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Rozszerzenia > odinstaluj SnapMyScreen oraz wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
    4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

     

    5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

  5. Znikający dysk, brak mozliwości uruchomienia

    w Windows 7

    Opublikowano

    I jeszcze jedno jak naprawić ZoneAlarm zaporę, nie chce się za nic odinstalować, a przy starcie systemu wyskakuje okienko z zatray.exe i poniżej w tym oknie validation failed vsinit.dll nie chcę ściągać pliku dll do podmiany z niepewnych źródeł, by czegoś w prezencie nie otrzymać i nie wiem, czy by nawet pomogło.

     

    Spróbuj odinstalować ZoneAlarm z poziomu trybu awaryjnego (kliknij F8 przed startem systemu) i zainstalować ją jeszcze raz (oczywiście pobierając instalator ze strony producenta, a nie np. z dobrych programów).

  6. Świeżo zainstalowany system zainfekowany?

    w Dział pomocy doraźnej

    Opublikowano

    FRST domyślnie generuje pliki FRST oraz Addition, lecz na naszym forum wymagamy jeszcze trzeciego raportu uzupełniającego Shortcut. Aby go wygenerować musisz zaznaczyć opcję Shortcut w interfejsie FRST i kliknąć w przycisk Skanuj

     

    kbuio0.png

     

    P.S: przecież podlinkowałem Ci w wyrazie FRST w moim pierwszym poście dokładną instrukcję wykonania raportów (KLIK). 

     

     

    Bez raportów mogę załatwić tylko sprawę poboczną:

     

    Poboczną sprawą było:
    Czy narzędzie WSUS-Offline-Update jest bezpieczne czy ktoś kiedyś z niego korzystał?

    Czy faktycznie może wgrywać jakieś oprogramowanie szpegujące czy to mit?

     

    Pierwsze słyszę, że są jakieś wątpliwości dot. tego programu i raczej w nie wątpię. Uważam, że jest on godny zaufania i spokojnie można go używać.

  8. Znikający dysk, brak mozliwości uruchomienia

    w Windows 7

    Opublikowano

    W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów / usług oraz szczątek po programach (głownie po przeglądarce FireFox).

     

    Temat przenoszę do działu Pozostałe zagadnienia komputerowe.

     

     

    Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
GroupPolicyScripts: Ograniczenia 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\ProgramData\cisEA0.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\wlodek\AppData\Local\Mozilla
C:\Users\wlodek\AppData\Roaming\Mozilla
C:\Users\wlodek\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    Nie musisz dostarczać żadnych raportów. To tyle z mojej strony.

     

  9. Błędy przy pracy sytemu tzw zwiechy

    w Dział pomocy doraźnej

    Opublikowano

    Wygląda to już OK. Niestety, wciąż w przeglądarce Google Chrome widzę poniższą modyfikację adware (próbowałem ją usunąć poprzez FRST, ale bez skutku).

     

    CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1421067010&from=kmp&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1425413868&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://www.istartsurf.com/?type=hppp&ts=1425413893&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1425665864&from=cor&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1430071217&from=cor&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","?type=hppppp","hxxp://www.gazeta.pl/0,0.html?p=190","hxxp://www.trotux.com/?z=64d444ec432f98827ebe090g4zcqdmez3b3q5b5b9q&from=ftp&uid=INTELXSSDSC2BW120A4_CVDA503503ER1207GN&type=hp"

     

    Kompleksowo przeinstaluj przeglądarkę Google Chrome (jeśli jest Ci to bardzo nie na rękę to napisz będziemy to leczyć inaczej).

    • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
    • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
    • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
    • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
    Zrób log FRST (bez Addition i Shortcut).

  10. Błędy przy pracy sytemu tzw zwiechy

    w Dział pomocy doraźnej

    Opublikowano

    W raportach widoczne ślady mogące wskazywać, że w przeszłości była tu poważna infekcji Rootkit omijająca weryfikacje integralności poprzez dodane niestandardowego wpisu w BCD, tym samym włączając tryb tzw. "testu". Infekcją ładuję również ukryty, niepodpisany sterownik, którego tutaj na szczęście brak, więc pozostaję tylko usunąć modyfikacje BCD, szczątki po programach (głownie po przeglądarce FireFox) oraz puste wpisy / usługi oraz skróty LNK. Moja pomoc ogranicza się tylko do ogarnięcia systemu od strony infekcji, więc jeśli po moich zaleceniach sytuacja ze stabilnościa systemu nie ulegnie zmianą to temat ląduje w dziale Windows 7.
     
    1. Otwórz Notatnik w nim wklej:

    CloseProcesses:
    CreateRestorePoint:
    GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2629472346-4294126388-1045716372-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1421067010&from=kmp&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1425413868&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://www.istartsurf.com/?type=hppp&ts=1425413893&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1425665864&from=cor&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1430071217&from=cor&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","?type=hppppp","hxxp://www.gazeta.pl/0,0.html?p=190","hxxp://www.trotux.com/?z=64d444ec432f98827ebe090g4zcqdmez3b3q5b5b9q&from=ftp&uid=INTELXSSDSC2BW120A4_CVDA503503ER1207GN&type=hp"
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellarium\config.ini.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellarium\Last run log.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Documentation.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Perl Critic.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Perl Package Manager.lnk
    DeleteKey: HKCU\Software\Mozilla\Firefox
    DeleteKey: HKCU\Software\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
    DeleteKey: HKLM\SOFTWARE\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
    C:\Users\janou\AppData\Local\Mozilla\Firefox
    C:\Users\janou\AppData\Roaming\Mozilla\Firefox
    C:\Users\janou\AppData\Roaming\Profiles
    EmptyTemp:


    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
     
    2. Wyczyść Google Chrome:
    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

    3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

  11. Rosyjski adware/hijacker - nic nie pomaga.

    w Windows 7

    Opublikowano

    Wygląda to już OK, a skoro piszesz, że problem ustąpił to będziemy kończyć.

     

    Poprawki:

     

    Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
U0 aswVmm; Brak ImagePath
C:\Users\Hubert\Desktop\Tibia.lnk
C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia Website.lnk
C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia.lnk
C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Uninstall Tibia.lnk
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    Nie musisz dostarczać żadnych nowych raportów, ani wynikowych.

     

    Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK

     

    Zaktualizuj ważne programy - KLIK

     

    Przeczytaj obszerny temat dot. uniknięcia nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać.

  13. Powolny system (infekcja atieclxx.exe, csrss.exe)

    w Windows 7

    Opublikowano

    W raportach brak oznak infekcji, w spoilerze sprawy poboczne: kasacji pustych wpisów / usług, szczątek po programach (głownie po przeglądarce FireFox)
     

    Otwórz Notatnik w nim wklej:
     

    CloseProcesses:
    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} =>  Brak pliku
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    U3 fgtdqpob; \??\C:\Users\WINDOW~1\AppData\Local\Temp\fgtdqpob.sys [X]
    C:\Users\Windows98\lua5.1.dll
    C:\Users\Windows98\uninstall.exe
    DeleteKey: HKCU\Software\Mozilla
    DeleteKey: HKCU\Software\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Mozilla
    DeleteKey: HKLM\SOFTWARE\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
    C:\Users\Windows98\AppData\Local\Mozilla
    C:\Users\Windows98\AppData\Roaming\Mozilla
    C:\Users\Windows98\AppData\Roaming\Profiles
    C:\Program files (x86)\Mozilla Firefox
    C:\Programdata\Mozilla
    EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
     
    Nie musisz dostarczać żadnych raportów. To tyle.

     

  14. Konstruktor punktów końcowych audio systemu

    w Windows 7

    Opublikowano

    (skanowanie z gmera coś długo trwa wiec czekam)

     

    Możesz je sobie odpuścić.

     

     

    W raportach brak oznak infekcji, w spoilerze sprawy poboczne. Jeśli chodzi o problem tytułowy to w nim Ci nie pomogę. Musisz czekać na kogoś innego.

     

     

    W skrypcie: kasacji pustych wpisów / usług, skrótów LNK oraz szczątek po programach (głownie po przeglądarce FireFox.

     

    Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Toolbar: HKU\S-1-5-21-724189759-581561532-2153186198-1001 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  Brak pliku
S2 AudioEndpointBuilder; %SystemRoot%\System32\AudioEndpointBuilder.dll [X]
U3 BcmSqlStartupSvc; Brak ImagePath
U2 IAStorDataMgrSvc; Brak ImagePath
U2 IviRegMgr; Brak ImagePath
U2 RichVideo; Brak ImagePath
U3 SQLWriter; Brak ImagePath
Task: C:\windows\Tasks\ByteFence Scan.job => C:\Program Files\ByteFence\ByteFence.exe 
C:\Program Files\ByteFence
C:\Users\Arek\AppData\Local\Microsoft\Windows\GameExplorer\{C36CE084-7581-4DCF-BDD9-495F110A5E71}\PlayTasks\0\Zagraj.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Arek\AppData\Local\Mozilla
C:\Users\Arek\AppData\Roaming\Mozilla
C:\Users\Arek\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    Nie musisz dostarczać żadnych raportów. To tyle.

     

  16. Rosyjski adware/hijacker - nic nie pomaga.

    w Windows 7

    Opublikowano

    W dostarczonych raportach widoczny wpis w harmonogramie zadań uruchamiający armani-br.ru oraz szkodliwe zmodyfikowane polityki grup. W skrypcie: kasacja widocznych problematycznych elementów oraz pustych wpisów, skrótów LNK, szczątek po programach (głownie po przeglądarce FireFox).

     

    P.S: Korzystasz z rozwiązania firmy Qihoo, a z tą firmą są związane liczne kontrowersje oraz afera z manipulowaniem wyników w testach. Ponadto, raporty na temat reklam produkowanych przez program.

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia ? 
GroupPolicy\User: Ograniczenia ? 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
Task: {FF2C4045-21E4-47C9-80D8-9804ED889658} - System32\Tasks\InternetDD => Chrome.exe hxxp://armani-br.ru/coloradosm
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firewatch\Firewatch.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firewatch\Uninstall Firewatch.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner.lnk
C:\Users\wiki\Desktop\Minecraft.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Hubert\AppData\Local\Mozilla
C:\Users\Hubert\AppData\Roaming\Mozilla
C:\Users\Hubert\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    2. Wyczyść Google Chrome:

    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
    3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt oraz napisz czy problem ustapił.

  17. ogólne spowolnienie pracy systemu windows

    w Dział pomocy doraźnej

    Opublikowano

    W raportach brak oznak infekcji, widać jedynie szczątki po adware Lightzap.

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
    CreateRestorePoint:
    
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 

    U0 aswVmm; Brak ImagePath
    

    S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
    

    Task: {59EB9752-6973-4DA6-937A-640E9669C1E2} - System32\Tasks\psv_GoodTech => /c regedit.exe /s "C:\ProgramData\Lightzap\BlueBam.reg" & del "C:\ProgramData\Lightzap\BlueBam.reg" & SCHTASKS /Delete /TN "psv_GoodTech" /F 
    Task: {7AB1C037-B1CF-49DE-81ED-8CD7D92E4456} - System32\Tasks\psv_Voyawarm => /c regedit.exe /s "C:\ProgramData\Lightzap\Scot-Dox.reg" & del "C:\ProgramData\Lightzap\Scot-Dox.reg" & SCHTASKS /Delete /TN "psv_Voyawarm" /F 
    Task: {E0D4BBE4-11ED-46E4-B799-E0C6EC4617A2} - System32\Tasks\psv_Rankcore => /c regedit.exe /s "C:\ProgramData\Lightzap\Soldom.reg" & del "C:\ProgramData\Lightzap\Soldom.reg" & SCHTASKS /Delete /TN "psv_Rankcore" /F 
    Task: {E2FD6EDB-4AA8-4AD3-9B97-676DFAC1475B} - System32\Tasks\psv_Zenstatplus => /c regedit.exe /s "C:\ProgramData\Lightzap\Joyhome.reg" & del "C:\ProgramData\Lightzap\Joyhome.reg" & SCHTASKS /Delete /TN "psv_Zenstatplus" /F 
    Task: {F7C9B877-AB18-42A9-A000-2F211B077CC3} - System32\Tasks\psv_Medfind => /c regedit.exe /s "C:\ProgramData\Lightzap\Trioplus.reg" & del "C:\ProgramData\Lightzap\Trioplus.reg" & SCHTASKS /Delete /TN "psv_Medfind" /F 
    
C:\ProgramData\Lightzap
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes\iTunes.lnk
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
     
    2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
     
    3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

  • problem z wirusem

    w Dział pomocy doraźnej

    Opublikowano

    Raporty wyglądają już w porządku, podsumuj obecną sytuację.

     

     

    C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\chfdnecihphmhljaaejmgoiahnihplgn
Wykryto preferencje Chromium: [C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences ] - chfdnecihphmhljaaejmgoiahnihplgn

     

    To nie są szkodliwe obiekty należą do AVG, ale przez AdwCleanera są traktowane jako firmowe PUP

  • Brak reakcji na zaznaczone opcje w " OPCJE FOLDERÓW "

    w Dział pomocy doraźnej

    Opublikowano

    W raportach brak oznak infekcji, w spoilerze sprawy poboczne: kasacji pustych usług / wpisów, kosmetyka. 

     

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
GroupPolicy: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
BHO: Brak nazwy -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> Brak pliku
S3 ALSysIO; \??\C:\Users\Dudek\AppData\Local\Temp\ALSysIO64.sys [X]
U0 aswVmm; Brak ImagePath
S3 COMMONFX; system32\drivers\COMMONFX.SYS [X]
S3 COMMONFX.SYS; \SystemRoot\System32\drivers\COMMONFX.SYS [X]
S3 ctac32k; system32\drivers\ctac32k.sys [X]
S3 ctaud2k; system32\drivers\ctaud2k.sys [X]
S3 CTAUDFX; system32\drivers\CTAUDFX.SYS [X]
S3 CTAUDFX.SYS; \SystemRoot\System32\drivers\CTAUDFX.SYS [X]
S3 CTERFXFX; system32\drivers\CTERFXFX.SYS [X]
S3 CTERFXFX.SYS; \SystemRoot\System32\drivers\CTERFXFX.SYS [X]
S3 ctgame; system32\DRIVERS\ctgame.sys [X]
S3 ctprxy2k; system32\drivers\ctprxy2k.sys [X]
S3 CTSBLFX; system32\drivers\CTSBLFX.SYS [X]
S3 CTSBLFX.SYS; \SystemRoot\System32\drivers\CTSBLFX.SYS [X]
S3 ctsfm2k; system32\drivers\ctsfm2k.sys [X]
S3 emupia; system32\drivers\emupia2k.sys [X]
S3 ha10kx2k; system32\drivers\ha10kx2k.sys [X]
S3 hap16v2k; system32\drivers\hap16v2k.sys [X]
S3 hap17v2k; system32\drivers\hap17v2k.sys [X]
S3 MSICDSetup; \??\T:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\T:\NTIOLib_X64.sys [X]
S3 ossrv; system32\drivers\ctoss2k.sys [X]
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    2. Nie musisz dostarczać żadnych nowych logów, ani pliku Fixlog.txt.

     

  • problem z wirusem

    w Dział pomocy doraźnej

    Opublikowano

    W raportach widoczne modyfikacje adware (zarażone skróty LNK, profil, polityki grup). Zaczynamy. 
     
    1. Otwórz Notatnik w nim wklej:
     

    CloseProcesses:
    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  Brak pliku
    GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-844956796-4294606565-3297058277-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
    BHO: Brak nazwy -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku
    CHR Profile: C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-15] S3 7ByteIo; \??\d:\Program Files (x86)\Hot CPU Tester Pro 4 LE\SysInfoX64.sys [X]
    S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X]
    S3 GPU-Z; \??\C:\Users\PAWE~1\AppData\Local\Temp\GPU-Z.sys [X]
    Task: {92A2E941-65A9-4082-A860-F477ED1386C4} - \8d66777dde5c9948c03b04d1f9eb5a60 -> Brak pliku Task: {BF7A1F20-BA8E-48BA-BCE4-0F9A369FF52A} - System32\Tasks\steamwebhelper_killer => TASKKILL [Argument = /F /IM steamwebhelper.exe /T] ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory="Profile 1" --app-id=knipolnnllmklapflnccelgolnpehhpl
    ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=knipolnnllmklapflnccelgolnpehhpl
    DeleteKey: HKCU\Software\Mozilla
    DeleteKey: HKCU\Software\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Mozilla
    DeleteKey: HKLM\SOFTWARE\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
    C:\Users\Paweł\AppData\Local\Mozilla
    C:\Users\Paweł\AppData\Roaming\Mozilla
    C:\Users\Paweł\AppData\Roaming\Profiles
    C:\ProgramFiles (x86)\Mozilla Firefox
    C:\ProgramData\Mozilla
    CMD: dir /a "C:\Program Files"
    CMD: dir /a "C:\Program Files (x86)"
    CMD: dir /a "C:\Program Files\Common Files\System"
    CMD: dir /a "C:\Program Files (x86)\Common Files\System"
    CMD: dir /a C:\ProgramData
    CMD: dir /a C:\Users\Paweł\AppData\Local
    CMD: dir /a C:\Users\Paweł\AppData\LocalLow
    CMD: dir /a C:\Users\Paweł\AppData\Roaming
    Hosts:
    EmptyTemp:


    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
     
    2. Wyczyść Google Chrome:
    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

    3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 
     
    4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

  • Zainfekowałem kompa (Online.io)

    w Dział pomocy doraźnej

    Opublikowano

    W raportach widoczny kolosalny bałagan z adware, zarażone skróty LNK, podmiany Google Chrome itd. Od razu przechodzimy do działań.

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
Task: {6DDD968A-9F42-4586-87A0-EB81ACD9F1CE} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe 
Task: {78E316D5-C79B-4453-8F55-6235945B529D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
Task: {FEE8FFAA-DBAF-4D81-A6C0-E6D607EA3FDF} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 

    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
    Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
    C:\Program Files (x86)\UCBrowser
    
Task: {B09B556B-E4E7-4472-BC99-04AD1FC5E811} - System32\Tasks\osTip => Chrome.exe  
WMI_ActiveScriptEventConsumer_ASEC: 

    ShortcutWithArgument: C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/
    

    ShortcutWithArgument: C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/
    

    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/
    

    ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/
    

    

    FirewallRules: [{AAE9FD5A-BCC0-49C6-9F01-3636168C666A}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    

    FirewallRules: [{DFD3D180-28CC-4040-B08F-3D29EC6C40D2}] => C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
    

    HKLM-x32\...\Run: [] => [X]
    

    

    HKU\S-1-5-21-2973696725-2151443549-252006422-1001\...\Run: [msiql] => C:\Users\kobis\AppData\Local\Temp\00013249\msiql.exe [2045952 2016-12-16] () 
    C:\Users\kobis\AppData\Local\Temp\00013249\msiql.exe
    

    HKU\S-1-5-21-2973696725-2151443549-252006422-1001\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\chrome.exe [7204864 2016-12-06] ()
    

    C:\ProgramData\WindowsMsg
    

    

    HKU\S-1-5-18\...\Run: [] => 0
    

    AppInit_DLLs: C:\ProgramData\Quoteex\Big-Lam.dll => Brak pliku
    

    AppInit_DLLs-x32: C:\ProgramData\Quoteex\Ventocore.dll => Brak pliku
    

    C:\ProgramData\Quoteex
    

    HKU\S-1-5-21-2973696725-2151443549-252006422-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms}
    

    

    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
    

    SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms}
    

    SearchScopes: HKU\.DEFAULT -> DefaultScope {452B3649-EC7C-4B2A-8781-EC0766B65FAD} URL = 
    

    SearchScopes: HKU\.DEFAULT -> {452B3649-EC7C-4B2A-8781-EC0766B65FAD} URL = 
    

    Edge HomeButtonPage: HKU\S-1-5-21-2973696725-2151443549-252006422-1001 -> 
    

    

    S2 GoogleChromeUpService; C:\ProgramData\service.exe /s GoogleChromeUpService /uid:51504 /local:br [X] 
    R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
    

    S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X]
    

    R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) 
    

    

    SearchScopes: HKU\S-1-5-21-2973696725-2151443549-252006422-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms}
    

    

    2016-12-16 13:11 - 2016-12-16 13:11 - 00003018 _____ C:\WINDOWS\System32\Tasks\osTip
    

    2016-12-16 12:47 - 2016-12-16 13:44 - 00000324 _____ C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job
    

    2016-12-16 12:47 - 2016-12-16 12:48 - 00002678 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdaterCore
    

    2016-12-16 12:47 - 2016-12-16 12:47 - 00003506 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
    

    2016-12-16 12:46 - 2016-12-16 13:44 - 00000488 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    

    2016-12-16 12:46 - 2016-12-16 12:46 - 00004444 _____ C:\WINDOWS\System32\Tasks\SecureUpdater
    

    2016-12-16 12:46 - 2016-12-16 12:46 - 00000000 ____D C:\Users\kobis\AppData\Local\UCBrowser
    

    

    2016-12-16 12:38 - 2016-12-16 12:38 - 7310848 _____ () C:\Users\kobis\AppData\Roaming\agent.dat
    

    2016-12-16 12:38 - 2016-12-16 12:38 - 0070704 _____ () C:\Users\kobis\AppData\Roaming\Config.xml
    

    2016-12-16 12:38 - 2016-12-16 12:38 - 0016224 _____ () C:\Users\kobis\AppData\Roaming\InstallationConfiguration.xml
    

    2016-12-16 12:38 - 2016-12-16 12:38 - 0140288 _____ () C:\Users\kobis\AppData\Roaming\Installer.dat
    

    2016-12-16 12:38 - 2016-12-16 12:38 - 0018432 _____ () C:\Users\kobis\AppData\Roaming\Main.dat
    

    2016-12-16 12:38 - 2016-12-16 12:38 - 0005568 _____ () C:\Users\kobis\AppData\Roaming\md.xml
    

    2016-12-16 12:38 - 2016-12-16 12:38 - 0126464 _____ () C:\Users\kobis\AppData\Roaming\noah.dat
    

    2016-12-16 12:38 - 2016-12-16 12:38 - 0190394 _____ () C:\Users\kobis\AppData\Roaming\QvoTrax.bin
    

    2016-12-16 12:39 - 2016-12-16 12:39 - 1938535 _____ () C:\Users\kobis\AppData\Roaming\Rantech.bin
    

    2016-12-16 12:38 - 2016-12-16 12:38 - 0615424 _____ () C:\Users\kobis\AppData\Roaming\StimTop.exe
    

    2016-12-16 12:38 - 2016-12-16 12:38 - 1907214 _____ () C:\Users\kobis\AppData\Roaming\StimTop.tst
    

    

    C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\5\Instrukcja do gry.lnk
    

    C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\4\Serwer dedykowany.lnk
    

    C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\3\Benchmark.lnk
    

    C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\2\Edytor.lnk
    

    C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\1\Graj w Far Cry® 2 (tryb bezpieczny).lnk
    

    C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\0\Graj w Far Cry® 2.lnk
    

    C:\Users\kobis\Desktop\FRESH\SUPERHOT.lnk
    

    C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
    

    DeleteKey: HKCU\Software\Mozilla\Firefox
    DeleteKey: HKCU\Software\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
    DeleteKey: HKLM\SOFTWARE\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
    C:\Users\kobis\AppData\Local\Mozilla\Firefox
    C:\Users\kobis\AppData\Roaming\Mozilla\Firefox
    C:\Users\kobis\AppData\Roaming\Profiles
    

    

    

    

    CMD: netsh winsock reset
    

    
EmptyTemp:

     

     
    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
     
    2. Wyczyść Google Chrome:
    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

    3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

     

    4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

    • ×
    ×
    • Dodaj nową pozycję...