-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
No po sprawdzeniu, zniknęła mi przeglądarka Chrome, i Firefox.
Zniknęły Ci tylko z skróty prowadzące do przeglądarek, a nie przeglądarki. Możesz je z powrotem utworzyć. FireFox utworzy ci nowy po wykonaniu pkt. 2.
Zaś do Google Chrome: PPM na pulpit > Nowy > Skrót > Element docelowy: C:\Program Files\Google\Chrome\Application\chrome.exe > Dalej > Nazwij skrót np. Google Chrome > Zakończ.
Poprawkowe działania dot. usunięcia adware:
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: Task: {3570A125-FE87-4A50-91A8-C2EA3A7B9B5E} - System32\Tasks\{506C0E67-6345-4EA3-A567-60DBC57428CC} => pcalua.exe -a "C:\Users\USER\Local Settings\Application Data\Bundled software uninstaller\biclient.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" Task: {EE45D21F-507D-47AE-A54B-A6B8E3237663} - System32\Tasks\{13EBBBE2-127C-4230-8E14-5D1EAD19B8E9} => pcalua.exe -a "C:\Users\USER\Local Settings\Application Data\Bundled software uninstaller\biclient.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" FirewallRules: [{C74D53B1-C809-435C-9D7A-23D91C013CE8}] => C:\Program Files (x86)\Coldjob\Application\chrome.exe FirewallRules: [{F7E54260-A605-4CA8-A1DD-336920EA2877}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{F3D342D1-63D3-450A-881D-308719CCD4F7}] => C:\Program Files (x86)\Firefox\Firefox.exe EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Przeinstaluj na czysto przeglądarkę Mozilla FireFox - KLIK (wykonujesz punkt Usuwanie FireFoksa oraz Usuwanie danych osobistych i ustawień FireFoksa).
3. Zrób log FRST (już bez Addition i Shortcut).
-
Całkowicie źle przeprowadziłeś pkt. 1, w skutek czego skrypt w ogóle się nie wykonał. Zawartość skryptu nie ma być w jeden linijce, lecz tak jak jest to zaprezentowane w specjalnym tagu Noparase.
1. Przeprowadź jeszcze raz pkt. 1. Teraz przesyłam Ci już gotowy plik Fixlist.txt - Twoim zadaniem jest go tylko umieścić na pulpicie (ale przedtem pamiętaj, aby skasować stary, zły Fixlist.txt). Dopiero gdy plik będzie na pulpie uruchom FRST i kliknij w Napraw (Fix), czekaj cierpliwie, nie przerywaj tego działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST (czyli w Twoim przypadku na pulpicie) powstanie plik fixlog.txt.
2. W AdwCleaner jeszcze raz przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania.
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Powiedział, że czyścił program CCleanerem, usłyszał też o ComboFixie, tylko nie zadał sobie trudu sprawdzenia "czym to się je" i nawet nic nie poczytał na necie, tylko dziś przed pracą odpalił na szybko
Nic gorszego nie mógł zrobić. Przekaż znajomemu, żeby się z tym zapoznał - KLIK.
Omówienie pomocy:
- Pomoc na miarę tego działu, czyli dezynfekcja systemu pod względem infekcji i kosmetycznego stanu systemu.
- Kierownictwo do odpowiedniego działu, w którym pomogą rozwiązać problem nie dot. infekcji, jeśli ja nie będę w stanie.
W raportach widoczne infekcje adware oraz puste usługi / wpisy, trzeba również pozbyć się resztek po przeglądarce FireFox.
1. Przez panel sterowania odinstaluj:
- Jungle Net (Adware)
- key-find uninstall (Adware)
- AVG SafeGuard toolbar (zbędnik)
CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-160238566-1350474344-338097376-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-160238566-1350474344-338097376-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\MobileTrans\DriverInstall.exe" [X] CHR Extension: (SnapMyScreen) - C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnacmlfckijnmogihjeaojfnfiplhhpj [2016-12-13] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Kasia\AppData\Local\Mozilla C:\Users\Kasia\AppData\Roaming\Mozilla C:\Users\Kasia\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Wyczyść Google Chrome:
- Jeśli skrót nie zadziała, spróbujesz uruchomić Google Chrome przez tą ścieżkę C:\Program Files\Google\Chrome\Application\Chrome.exe
- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj SnapMyScreen oraz wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
I jeszcze jedno jak naprawić ZoneAlarm zaporę, nie chce się za nic odinstalować, a przy starcie systemu wyskakuje okienko z zatray.exe i poniżej w tym oknie validation failed vsinit.dll nie chcę ściągać pliku dll do podmiany z niepewnych źródeł, by czegoś w prezencie nie otrzymać i nie wiem, czy by nawet pomogło.
Spróbuj odinstalować ZoneAlarm z poziomu trybu awaryjnego (kliknij F8 przed startem systemu) i zainstalować ją jeszcze raz (oczywiście pobierając instalator ze strony producenta, a nie np. z dobrych programów).
-
FRST domyślnie generuje pliki FRST oraz Addition, lecz na naszym forum wymagamy jeszcze trzeciego raportu uzupełniającego Shortcut. Aby go wygenerować musisz zaznaczyć opcję Shortcut w interfejsie FRST i kliknąć w przycisk Skanuj.
P.S: przecież podlinkowałem Ci w wyrazie FRST w moim pierwszym poście dokładną instrukcję wykonania raportów (KLIK).
Bez raportów mogę załatwić tylko sprawę poboczną:
Poboczną sprawą było:
Czy narzędzie WSUS-Offline-Update jest bezpieczne czy ktoś kiedyś z niego korzystał?Czy faktycznie może wgrywać jakieś oprogramowanie szpegujące czy to mit?
Pierwsze słyszę, że są jakieś wątpliwości dot. tego programu i raczej w nie wątpię. Uważam, że jest on godny zaufania i spokojnie można go używać.
-
To nie jest problem na miarę tego działu, więc temat przenoszę do działu Windows 7.
Po 'paydayu' postaram się jakoś odwdzięczyć za poświęcone mi 5 minut.Dziękujemy!
-
W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów / usług oraz szczątek po programach (głownie po przeglądarce FireFox).
Temat przenoszę do działu Pozostałe zagadnienia komputerowe.
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: GroupPolicyScripts: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\cisEA0.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\wlodek\AppData\Local\Mozilla C:\Users\wlodek\AppData\Roaming\Mozilla C:\Users\wlodek\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać żadnych raportów. To tyle z mojej strony.
-
Wygląda to już OK. Niestety, wciąż w przeglądarce Google Chrome widzę poniższą modyfikację adware (próbowałem ją usunąć poprzez FRST, ale bez skutku).
CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1421067010&from=kmp&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1425413868&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://www.istartsurf.com/?type=hppp&ts=1425413893&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1425665864&from=cor&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1430071217&from=cor&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","?type=hppppp","hxxp://www.gazeta.pl/0,0.html?p=190","hxxp://www.trotux.com/?z=64d444ec432f98827ebe090g4zcqdmez3b3q5b5b9q&from=ftp&uid=INTELXSSDSC2BW120A4_CVDA503503ER1207GN&type=hp"
Kompleksowo przeinstaluj przeglądarkę Google Chrome (jeśli jest Ci to bardzo nie na rękę to napisz będziemy to leczyć inaczej).
- Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
- Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
- Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
- Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
-
W raportach widoczne ślady mogące wskazywać, że w przeszłości była tu poważna infekcji Rootkit omijająca weryfikacje integralności poprzez dodane niestandardowego wpisu w BCD, tym samym włączając tryb tzw. "testu". Infekcją ładuję również ukryty, niepodpisany sterownik, którego tutaj na szczęście brak, więc pozostaję tylko usunąć modyfikacje BCD, szczątki po programach (głownie po przeglądarce FireFox) oraz puste wpisy / usługi oraz skróty LNK. Moja pomoc ogranicza się tylko do ogarnięcia systemu od strony infekcji, więc jeśli po moich zaleceniach sytuacja ze stabilnościa systemu nie ulegnie zmianą to temat ląduje w dziale Windows 7.
1. Otwórz Notatnik w nim wklej:CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2629472346-4294126388-1045716372-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1421067010&from=kmp&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1425413868&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://www.istartsurf.com/?type=hppp&ts=1425413893&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1425665864&from=cor&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1430071217&from=cor&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","?type=hppppp","hxxp://www.gazeta.pl/0,0.html?p=190","hxxp://www.trotux.com/?z=64d444ec432f98827ebe090g4zcqdmez3b3q5b5b9q&from=ftp&uid=INTELXSSDSC2BW120A4_CVDA503503ER1207GN&type=hp"
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellarium\config.ini.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellarium\Last run log.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Documentation.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Perl Critic.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Perl Package Manager.lnk
DeleteKey: HKCU\Software\Mozilla\Firefox
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\janou\AppData\Local\Mozilla\Firefox
C:\Users\janou\AppData\Roaming\Mozilla\Firefox
C:\Users\janou\AppData\Roaming\Profiles
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Wyczyść Google Chrome:- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Wygląda to już OK, a skoro piszesz, że problem ustąpił to będziemy kończyć.
Poprawki:
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku U0 aswVmm; Brak ImagePath C:\Users\Hubert\Desktop\Tibia.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia Website.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Uninstall Tibia.lnk EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać żadnych nowych raportów, ani wynikowych.
Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK.
Zaktualizuj ważne programy - KLIK.
Przeczytaj obszerny temat dot. uniknięcia nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać.
-
Na przyszłość: jeśli proszę o skan to proszę o skan, a nie o skan i dezynfekcje, ale niech już będzie. Wygląda to już w porządku, napisz jak wygląda sytuacja z Twojej strony.
Skasuj ręcznie ten pusty skrót:
C:\Users\Lenovo\Desktop\Kontynuuj instalację Windows 10 - instalator.lnk
-
W raportach brak oznak infekcji, w spoilerze sprawy poboczne: kasacji pustych wpisów / usług, szczątek po programach (głownie po przeglądarce FireFox)
Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => Brak pliku
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
U3 fgtdqpob; \??\C:\Users\WINDOW~1\AppData\Local\Temp\fgtdqpob.sys [X]
C:\Users\Windows98\lua5.1.dll
C:\Users\Windows98\uninstall.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Windows98\AppData\Local\Mozilla
C:\Users\Windows98\AppData\Roaming\Mozilla
C:\Users\Windows98\AppData\Roaming\Profiles
C:\Program files (x86)\Mozilla Firefox
C:\Programdata\Mozilla
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać żadnych raportów. To tyle. -
(skanowanie z gmera coś długo trwa wiec czekam)
Możesz je sobie odpuścić.
W raportach brak oznak infekcji, w spoilerze sprawy poboczne. Jeśli chodzi o problem tytułowy to w nim Ci nie pomogę. Musisz czekać na kogoś innego.
W skrypcie: kasacji pustych wpisów / usług, skrótów LNK oraz szczątek po programach (głownie po przeglądarce FireFox.
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] Toolbar: HKU\S-1-5-21-724189759-581561532-2153186198-1001 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku S2 AudioEndpointBuilder; %SystemRoot%\System32\AudioEndpointBuilder.dll [X] U3 BcmSqlStartupSvc; Brak ImagePath U2 IAStorDataMgrSvc; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 RichVideo; Brak ImagePath U3 SQLWriter; Brak ImagePath Task: C:\windows\Tasks\ByteFence Scan.job => C:\Program Files\ByteFence\ByteFence.exe C:\Program Files\ByteFence C:\Users\Arek\AppData\Local\Microsoft\Windows\GameExplorer\{C36CE084-7581-4DCF-BDD9-495F110A5E71}\PlayTasks\0\Zagraj.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Arek\AppData\Local\Mozilla C:\Users\Arek\AppData\Roaming\Mozilla C:\Users\Arek\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać żadnych raportów. To tyle.
-
Kończymy.
Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK.
Zaktualizuj ważne programy - KLIK.
Przeczytaj obszerny temat dot. uniknięcia nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać.
-
W dostarczonych raportach widoczny wpis w harmonogramie zadań uruchamiający armani-br.ru oraz szkodliwe zmodyfikowane polityki grup. W skrypcie: kasacja widocznych problematycznych elementów oraz pustych wpisów, skrótów LNK, szczątek po programach (głownie po przeglądarce FireFox).
P.S: Korzystasz z rozwiązania firmy Qihoo, a z tą firmą są związane liczne kontrowersje oraz afera z manipulowaniem wyników w testach. Ponadto, raporty na temat reklam produkowanych przez program.
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia ? GroupPolicy\User: Ograniczenia ? HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {FF2C4045-21E4-47C9-80D8-9804ED889658} - System32\Tasks\InternetDD => Chrome.exe hxxp://armani-br.ru/coloradosm C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firewatch\Firewatch.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firewatch\Uninstall Firewatch.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner.lnk C:\Users\wiki\Desktop\Minecraft.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Hubert\AppData\Local\Mozilla C:\Users\Hubert\AppData\Roaming\Mozilla C:\Users\Hubert\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Wyczyść Google Chrome:
- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
-
W raportach brak oznak infekcji, widać jedynie szczątki po adware Lightzap.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =U0 aswVmm; Brak ImagePathS3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]Task: {59EB9752-6973-4DA6-937A-640E9669C1E2} - System32\Tasks\psv_GoodTech => /c regedit.exe /s "C:\ProgramData\Lightzap\BlueBam.reg" & del "C:\ProgramData\Lightzap\BlueBam.reg" & SCHTASKS /Delete /TN "psv_GoodTech" /FTask: {7AB1C037-B1CF-49DE-81ED-8CD7D92E4456} - System32\Tasks\psv_Voyawarm => /c regedit.exe /s "C:\ProgramData\Lightzap\Scot-Dox.reg" & del "C:\ProgramData\Lightzap\Scot-Dox.reg" & SCHTASKS /Delete /TN "psv_Voyawarm" /FTask: {E0D4BBE4-11ED-46E4-B799-E0C6EC4617A2} - System32\Tasks\psv_Rankcore => /c regedit.exe /s "C:\ProgramData\Lightzap\Soldom.reg" & del "C:\ProgramData\Lightzap\Soldom.reg" & SCHTASKS /Delete /TN "psv_Rankcore" /FTask: {E2FD6EDB-4AA8-4AD3-9B97-676DFAC1475B} - System32\Tasks\psv_Zenstatplus => /c regedit.exe /s "C:\ProgramData\Lightzap\Joyhome.reg" & del "C:\ProgramData\Lightzap\Joyhome.reg" & SCHTASKS /Delete /TN "psv_Zenstatplus" /FTask: {F7C9B877-AB18-42A9-A000-2F211B077CC3} - System32\Tasks\psv_Medfind => /c regedit.exe /s "C:\ProgramData\Lightzap\Trioplus.reg" & del "C:\ProgramData\Lightzap\Trioplus.reg" & SCHTASKS /Delete /TN "psv_Medfind" /FC:\ProgramData\Lightzap C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes\iTunes.lnk EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Raporty wyglądają już w porządku, podsumuj obecną sytuację.
C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\chfdnecihphmhljaaejmgoiahnihplgn Wykryto preferencje Chromium: [C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences ] - chfdnecihphmhljaaejmgoiahnihplgn
To nie są szkodliwe obiekty należą do AVG, ale przez AdwCleanera są traktowane jako firmowe PUP.
-
Temat nie jest zakończony, jeśli by był to na pewno bym Cię o tym poinformował. Czekaj na odpowiedź.
-
W raportach brak oznak infekcji, w spoilerze sprawy poboczne: kasacji pustych usług / wpisów, kosmetyka.
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = BHO: Brak nazwy -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> Brak pliku S3 ALSysIO; \??\C:\Users\Dudek\AppData\Local\Temp\ALSysIO64.sys [X] U0 aswVmm; Brak ImagePath S3 COMMONFX; system32\drivers\COMMONFX.SYS [X] S3 COMMONFX.SYS; \SystemRoot\System32\drivers\COMMONFX.SYS [X] S3 ctac32k; system32\drivers\ctac32k.sys [X] S3 ctaud2k; system32\drivers\ctaud2k.sys [X] S3 CTAUDFX; system32\drivers\CTAUDFX.SYS [X] S3 CTAUDFX.SYS; \SystemRoot\System32\drivers\CTAUDFX.SYS [X] S3 CTERFXFX; system32\drivers\CTERFXFX.SYS [X] S3 CTERFXFX.SYS; \SystemRoot\System32\drivers\CTERFXFX.SYS [X] S3 ctgame; system32\DRIVERS\ctgame.sys [X] S3 ctprxy2k; system32\drivers\ctprxy2k.sys [X] S3 CTSBLFX; system32\drivers\CTSBLFX.SYS [X] S3 CTSBLFX.SYS; \SystemRoot\System32\drivers\CTSBLFX.SYS [X] S3 ctsfm2k; system32\drivers\ctsfm2k.sys [X] S3 emupia; system32\drivers\emupia2k.sys [X] S3 ha10kx2k; system32\drivers\ha10kx2k.sys [X] S3 hap16v2k; system32\drivers\hap16v2k.sys [X] S3 hap17v2k; system32\drivers\hap17v2k.sys [X] S3 MSICDSetup; \??\T:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\T:\NTIOLib_X64.sys [X] S3 ossrv; system32\drivers\ctoss2k.sys [X] EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Nie musisz dostarczać żadnych nowych logów, ani pliku Fixlog.txt.
-
Wersja, której użyto do generacji raportów FRST jest bardzo przestarzała, bo z lutego br.
Wykonaj nowe raporty korzystając z najnowszej wersji narzędzia Farbar Recover Scan Tool.
-
To wygląda na fałszywy alarm, zobacz choćby na dodatkowe informacje o elemencie - pochodzenie procesu od MBAM.
-
W raportach widoczne modyfikacje adware (zarażone skróty LNK, profil, polityki grup). Zaczynamy.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku
GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-844956796-4294606565-3297058277-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
BHO: Brak nazwy -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku
CHR Profile: C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-15] S3 7ByteIo; \??\d:\Program Files (x86)\Hot CPU Tester Pro 4 LE\SysInfoX64.sys [X]
S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X]
S3 GPU-Z; \??\C:\Users\PAWE~1\AppData\Local\Temp\GPU-Z.sys [X]
Task: {92A2E941-65A9-4082-A860-F477ED1386C4} - \8d66777dde5c9948c03b04d1f9eb5a60 -> Brak pliku Task: {BF7A1F20-BA8E-48BA-BCE4-0F9A369FF52A} - System32\Tasks\steamwebhelper_killer => TASKKILL [Argument = /F /IM steamwebhelper.exe /T] ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" --app-id=knipolnnllmklapflnccelgolnpehhpl
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=knipolnnllmklapflnccelgolnpehhpl
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Paweł\AppData\Local\Mozilla
C:\Users\Paweł\AppData\Roaming\Mozilla
C:\Users\Paweł\AppData\Roaming\Profiles
C:\ProgramFiles (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Paweł\AppData\Local
CMD: dir /a C:\Users\Paweł\AppData\LocalLow
CMD: dir /a C:\Users\Paweł\AppData\Roaming
Hosts:
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Wyczyść Google Chrome:- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
W takim razie kończymy.
Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK.
Przeczytaj i dowiedz się jak unikać podobnych sytuacji: Portale z oprogramowaniem / Instalatory - na co uważać.
-
W raportach widoczny kolosalny bałagan z adware, zarażone skróty LNK, podmiany Google Chrome itd. Od razu przechodzimy do działań.
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: Task: {6DDD968A-9F42-4586-87A0-EB81ACD9F1CE} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe Task: {78E316D5-C79B-4453-8F55-6235945B529D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {FEE8FFAA-DBAF-4D81-A6C0-E6D607EA3FDF} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exeTask: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exeC:\Program Files (x86)\UCBrowserTask: {B09B556B-E4E7-4472-BC99-04AD1FC5E811} - System32\Tasks\osTip => Chrome.exe WMI_ActiveScriptEventConsumer_ASEC:ShortcutWithArgument: C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ShortcutWithArgument: C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/FirewallRules: [{AAE9FD5A-BCC0-49C6-9F01-3636168C666A}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exeFirewallRules: [{DFD3D180-28CC-4040-B08F-3D29EC6C40D2}] => C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exeHKLM-x32\...\Run: [] => [X]HKU\S-1-5-21-2973696725-2151443549-252006422-1001\...\Run: [msiql] => C:\Users\kobis\AppData\Local\Temp\00013249\msiql.exe [2045952 2016-12-16] ()C:\Users\kobis\AppData\Local\Temp\00013249\msiql.exeHKU\S-1-5-21-2973696725-2151443549-252006422-1001\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\chrome.exe [7204864 2016-12-06] ()C:\ProgramData\WindowsMsgHKU\S-1-5-18\...\Run: [] => 0AppInit_DLLs: C:\ProgramData\Quoteex\Big-Lam.dll => Brak plikuAppInit_DLLs-x32: C:\ProgramData\Quoteex\Ventocore.dll => Brak plikuC:\ProgramData\QuoteexHKU\S-1-5-21-2973696725-2151443549-252006422-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms}SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms}SearchScopes: HKU\.DEFAULT -> DefaultScope {452B3649-EC7C-4B2A-8781-EC0766B65FAD} URL =SearchScopes: HKU\.DEFAULT -> {452B3649-EC7C-4B2A-8781-EC0766B65FAD} URL =Edge HomeButtonPage: HKU\S-1-5-21-2973696725-2151443549-252006422-1001 ->S2 GoogleChromeUpService; C:\ProgramData\service.exe /s GoogleChromeUpService /uid:51504 /local:br [X]R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X]R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.)SearchScopes: HKU\S-1-5-21-2973696725-2151443549-252006422-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms}2016-12-16 13:11 - 2016-12-16 13:11 - 00003018 _____ C:\WINDOWS\System32\Tasks\osTip2016-12-16 12:47 - 2016-12-16 13:44 - 00000324 _____ C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job2016-12-16 12:47 - 2016-12-16 12:48 - 00002678 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdaterCore2016-12-16 12:47 - 2016-12-16 12:47 - 00003506 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater2016-12-16 12:46 - 2016-12-16 13:44 - 00000488 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job2016-12-16 12:46 - 2016-12-16 12:46 - 00004444 _____ C:\WINDOWS\System32\Tasks\SecureUpdater2016-12-16 12:46 - 2016-12-16 12:46 - 00000000 ____D C:\Users\kobis\AppData\Local\UCBrowser2016-12-16 12:38 - 2016-12-16 12:38 - 7310848 _____ () C:\Users\kobis\AppData\Roaming\agent.dat2016-12-16 12:38 - 2016-12-16 12:38 - 0070704 _____ () C:\Users\kobis\AppData\Roaming\Config.xml2016-12-16 12:38 - 2016-12-16 12:38 - 0016224 _____ () C:\Users\kobis\AppData\Roaming\InstallationConfiguration.xml2016-12-16 12:38 - 2016-12-16 12:38 - 0140288 _____ () C:\Users\kobis\AppData\Roaming\Installer.dat2016-12-16 12:38 - 2016-12-16 12:38 - 0018432 _____ () C:\Users\kobis\AppData\Roaming\Main.dat2016-12-16 12:38 - 2016-12-16 12:38 - 0005568 _____ () C:\Users\kobis\AppData\Roaming\md.xml2016-12-16 12:38 - 2016-12-16 12:38 - 0126464 _____ () C:\Users\kobis\AppData\Roaming\noah.dat2016-12-16 12:38 - 2016-12-16 12:38 - 0190394 _____ () C:\Users\kobis\AppData\Roaming\QvoTrax.bin2016-12-16 12:39 - 2016-12-16 12:39 - 1938535 _____ () C:\Users\kobis\AppData\Roaming\Rantech.bin2016-12-16 12:38 - 2016-12-16 12:38 - 0615424 _____ () C:\Users\kobis\AppData\Roaming\StimTop.exe2016-12-16 12:38 - 2016-12-16 12:38 - 1907214 _____ () C:\Users\kobis\AppData\Roaming\StimTop.tstC:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\5\Instrukcja do gry.lnkC:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\4\Serwer dedykowany.lnkC:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\3\Benchmark.lnkC:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\2\Edytor.lnkC:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\1\Graj w Far Cry® 2 (tryb bezpieczny).lnkC:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\0\Graj w Far Cry® 2.lnkC:\Users\kobis\Desktop\FRESH\SUPERHOT.lnkC:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnkDeleteKey: HKCU\Software\Mozilla\Firefox
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\kobis\AppData\Local\Mozilla\Firefox
C:\Users\kobis\AppData\Roaming\Mozilla\Firefox
C:\Users\kobis\AppData\Roaming\ProfilesCMD: netsh winsock resetAdnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Wyczyść Google Chrome:- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Spowolnienie komputera - 100% użycia dysku
w Windows 10
Opublikowano
W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów w harmonogramie zadań, usług oraz szczątek po programach (głównie po przeglądarce FireFox).
Temat przenoszę do działu Windows 10.
Otwórz Notatnik w nim wklej:
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać żadnych nowych logów, ani raportu wynikowego.