-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez Miszel03
-
Komputer wolno działa, niechciane reklamy.
Miszel03 odpowiedział(a) na adriankoki temat w Dział pomocy doraźnej
W raportach widoczne adware, liczne przekierowania na śmieciową wyszukiwarkę mylucky123, fałszywą, szkodliwą aplikację podszywającą się pod przeglądarkę Google Chrome (Redjane) oraz zanieczyszczony plik Hosts. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms} Edge HomeButtonPage: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080 CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080" S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X] S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {E18C1E11-A45B-42DD-833E-3BF35B1D5DB1} - System32\Tasks\RedjaneUpdateTaskMachineUA => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe Task: {ED41BEBA-E7E8-4F2C-895E-4B394794CDE9} - System32\Tasks\RedjaneUpdateTaskMachineCore => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe C:\Program Files (x86)\Redjane C:\ProgramData\Redjane FirewallRules: [{754F550F-88C1-455D-B3B9-8494240BCD80}] => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe FirewallRules: [{2EBD188A-39E8-46E5-A577-0B3829360E9F}] => C:\Program Files (x86)\Redjane\Application\chrome.exe FirewallRules: [{4F45EB23-C9F0-4409-A1A1-10EF09C11015}] => C:\ProgramData\Redjane\Redjane.exe C:\Users\Adrian\Downloads\redsn0w_win_0.9.14b1\redsn0w_win_0.9.14b1\boot-ipt4g.lnk C:\Users\Adrian\Desktop\pulpit\Cities Skylines Deluxe Edition.lnk C:\Users\Adrian\Desktop\pulpit\LEGO Marvels Avengers.lnk C:\Users\Adrian\Desktop\pulpit\Samorost 3.lnk C:\Users\Adrian\Desktop\pulpit\TheForest C:\Users\Adrian\Desktop\pulpit\Warhammer 40000 - Dawn of War II Gold Edition.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samorost 3 [GOG.com]\Samorost 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samorost 3 [GOG.com]\Uninstall Samorost 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LEGO STAR WARS The Force Awakens\LEGO STAR WARS The Force Awakens.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LEGO STAR WARS The Force Awakens\Uninstall LEGO STAR WARS The Force Awakens.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Adrian\AppData\Local CMD: dir /a C:\Users\Adrian\AppData\LocalLow CMD: dir /a C:\Users\Adrian\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy zestaw raportów FRST (bez GMERa) oraz dołącz raport wynikowy (Fixlog.txt). -
Windows momentalnie zwalnia, wieszanie sie exe i explorera
Miszel03 odpowiedział(a) na rplsv temat w Dział pomocy doraźnej
Na PW pisałeś, że wykonałeś już jakieś działania (deinstalacja Comodo itd.), więc te raporty FRST są już nie aktualne. Wykonaj nowe. -
Brakuje raportu z przeprowadzenia skanowania programem AdwCleaner (patrz pkt. 2 mojego pierwszego posta).
-
Czysto, - kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Przeczytaj również Portale z oprogramowaniem / Instalatory - na co uważać.
-
To nie jest problem infekcji. ################## | F:\ - Removable drive (exFAT) | [30/11/2016 - 18:51:18 | D] - F:\[AgusiQ-Torrents.pl]Free.State.of.Jones.2016.PL.720p.BDRip.AC3.XviD-Floki [01/09/2016 - 08:48:54 | D] - F:\St.Vincent.2014.PL.720p.BRRip._dabrjarek.XviD [11/12/2016 - 16:19:55 | A | 0 Ko] - F:\Nowy dokument tekstowy.txt [04/04/2016 - 20:53:26 | A | 2 Ko] - F:\odwolanie3.rtf [11/11/2016 - 19:33:34 | D] - F:\[AgusiQ-TorrentS.pl] The.Infiltrator.2016.PL-KiT [AgusiQ] [26/05/2016 - 07:12:00 | D] - F:\[FileTracker.pl]Kingsman Tajne sluzby 720p[wilu75] [05/12/2016 - 11:40:04 | D] - F:\[FileTracker.pl]John Wick [20/11/2016 - 12:21:34 | D] - F:\[FileTracker.pl]Dzień Bastylii 720px264[wilu75] [26/05/2016 - 07:50:18 | D] - F:\[ELECTRO-TORRENT.PL] The big short x264 720p [30/07/2016 - 13:53:50 | D] - F:\[ELECTRO-TORRENT.PL] Sluzby specjalne (2015) [11/12/2016 - 12:35:42 | D] - F:\[aletorrenty.pl] Prawo Bronxu (1993) [AT-Team] [23/08/2016 - 19:50:32 | D] - F:\[ELECTRO-TORRENT.PL] Pitbull Nowe porzadki 2016 PL DVDRip XviD-KiT [17/07/2016 - 09:26:00 | D] - F:\[ELECTRO-TORRENT.PL] Obecność 720p [16/10/2016 - 13:28:46 | D] - F:\[ELECTRO-TORRENT.PL] La famile 720p [21/08/2016 - 13:40:46 | D] - F:\[ELECTRO-TORRENT.PL] Horrible Bosses 2 2014 PL THEATRiCAL 480p BRRip XViD AC3-NOiSE [04/12/2016 - 19:45:24 | D] - F:\[bEST-TORRENTY.PL] Bastille Day 2016 PL 720p BluRay x264 AC3-K12 [30/07/2016 - 13:49:56 | D] - F:\[ devil-torrents.pl ] Zaginiona dziewczyna [30/07/2016 - 13:56:44 | D] - F:\[ devil-torrents.pl ] Gość [09/05/2016 - 19:28:16 | D] - F:\[ DEVIL-TORRENTS.PL ] Deadpool [06/12/2016 - 15:43:12 | RA | 4872896 Ko] - F:\Bad.Moms.2016.PL.720p.BluRay.x264-BRY.mkv [12/11/2016 - 18:17:40 | D] - F:\[AgusiQ-TorrentS.pl] Nice.Guys.2016.PL.720p.K12 [jans12] [25/09/2016 - 11:26:50 | D] - F:\La.Grande.Bellezza 2013 [TnT24.Info] [25/09/2016 - 12:08:16 | D] - F:\Jagten 2012 PL 720p BRRip AC3 XviD CiNEMAET-SAVED [TnT24.Info] [23/10/2016 - 13:03:44 | D] - F:\Koneser (2013) [TnT24.Info] [30/11/2016 - 21:30:06 | D] - F:\[Polskie-Torrenty.com] Rekiny wojny [720p] [bluRay] [Lektor PL] [24/07/2016 - 21:36:14 | RA | 2181676 Ko] - F:\Za Jakie Grzechy Dobry Boże - Qu'est-ce qu'on a fait au Bon Dieu (2014) [720p] [bRRip] [XviD] [AC3-SLiSU] [Lektor PL].avi [31/10/2016 - 19:33:48 | RA | 1433568 Ko] - F:\An.American.Crime.2007.PL.AC3.BRRip.XviD-TVM4iN.avi [12/11/2016 - 18:13:26 | D] - F:\[Electro-Torrent.pl] Mike.and.Dave.Need.Wedding.Dates.2016.PL.720p.BRRip.XViD.AC3-OzW [30/07/2016 - 13:54:56 | D] - F:\7 Edge.of.Tomorrow.2014.PL.480p.BRRip.XViD.AC3-MORS [21/07/2016 - 20:33:18 | D] - F:\[bEST - TORRENTS.NET] Gran.Torino.2008.PL.720p.BDRip.XviD.AC3-ELiTE [02/09/2016 - 19:36:56 | D] - F:\Were.The.Millers.2013.THEATRiCAL.CUT.PL.480p.BDRip.XviD.AC3-ELiTE [13/11/2016 - 18:21:56 | D] - F:\[AgusiQ-Torrents.pl]Racing.Extinction.2015.PL.720p.BDRip.XviD.AC3-ELiTE [05/12/2016 - 13:38:02 | D] - F:\[AgusiQ-TorrentS.pl] Cartel.Land.2015.PL.BluRay.720p-KRT [AgusiQ] [29/08/2016 - 19:36:16 | D] - F:\Pride (2014) [29/08/2016 - 19:38:30 | D] - F:\Birdman (2014)[bRRip][XviD-torentup][Lektor PL] [05/09/2016 - 15:58:28 | D] - F:\Wszystko za życie(wstawka poprawiona)(BadBoy85) [25/09/2016 - 11:30:40 | D] - F:\Życie na podsłuchu - Das Leben der Anderen (2006) [31/10/2016 - 17:43:14 | D] - F:\The Lincoln Lawyer 480p ac3 pl 2011 [11/12/2016 - 12:06:42 | D] - F:\KOMPUTER Czy to co jest widoczne powyżej jest widoczne w eksploratorze Windows? Jeśli tak to na tym pendrive nie ma żadnych innych danych. Jeśli jednak nie widzisz kompletnie nic to zastanawia mnie ten system plików: F:\ - Removable drive (exFAT) Windows 7 powinien go obsługiwać natywnie, ale kto wie czy nie tu właśnie jest problem. Zaraz Twój temat zostanie przeniesiony do działu Hardware skąd poczekasz najlepiej na odzew Groszexxx.
-
Skoro problem ustąpił to kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK. Przeczytaj również Portale z oprogramowaniem / Instalatory - na co uważać.
-
1. W AdwCleaner powtórz czynność skanowania, ale po niej kliknij w Oczyść. Dostarcz raport z tego działania. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0405163B-E7DE-47A8-BAE1-86B2EED7B1FC} - System32\Tasks\d6a959b4fd1aaa581ab458d9d73c08ff => Rundll32.exe "C:\Program Files (x86)\BRS\0oo5rc.dll",e62dc6c6547f46bda862da2d05af6862 C:\Program Files (x86)\UCBrowser EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Nie musisz dostarczać raportu wynikowego (Fixlog.txt). Napisz czy problem ustąpił.
-
W raportach widoczne szkodliwe modyfikacje (zarażone skróty LNK wraz z automatycznym ładowaniem rozszerzenia z prefabrykowanej lokalizacji) wyszukiwarki yeabd66.cc. Oprócz tego w raportach widać szczątki po innych infekcjach adware i programach (głównie po przeglądarce FireFox). Zaczynamy. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 ShellExecuteHooks: - {3F1B64C0-AA92-11E6-B58E-64006A5CFC23} - C:\Users\Nesste\AppData\Roaming\Elukweceward\Tiwale.dll Brak pliku [ ] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\Software\Microsoft\Internet Explorer\Main,Start Page = URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> DefaultScope {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=154 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=154","hxxp://www.istartsurf.com/?type=hp&ts=1409675265&from=smt&uid=ST1500DM003-9YN16G_W1E2QME9XXXXW1E2QME9" OPR Extension: (CinPl2.3c) - C:\Users\Nesste\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhnjdejfbngngppihmpgncfnpfdaglhg [2014-09-02] S2 BstHdUpdaterSvc; C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe [X] S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X] S2 PlaysService; "C:\Program Files (x86)\Raptr Inc\PlaysTV\plays_service.exe" [X] S3 ALSysIO; Brak ImagePath S3 BRDriver64_1_3_3_E02B25FC; Brak ImagePath S3 EagleX64; Brak ImagePath S3 gdrv; Brak ImagePath U0 aswVmm; Brak ImagePath S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X] S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X] S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X] S3 qcusbnet; system32\DRIVERS\qcusbnet.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] 2016-03-19 19:24 - 2016-03-19 19:24 - 6493696 _____ () C:\Users\Nesste\AppData\Roaming\agent.dat 2016-03-19 19:24 - 2016-03-19 19:24 - 0127488 _____ () C:\Users\Nesste\AppData\Roaming\Installer.dat 2016-03-19 19:24 - 2016-03-19 19:24 - 0018432 _____ () C:\Users\Nesste\AppData\Roaming\Main.dat Task: {0B825389-7CFF-4F71-9C7F-280C123F5173} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> Brak pliku Task: {230F544D-4F40-445F-92C8-8357185B6100} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> Brak pliku Task: {346EDB4C-62B6-467D-8CC4-E0217ABB6FA5} - \Microsoft\Windows\Media Center\OCURActivate -> Brak pliku Task: {3EB9619C-CF63-4E2A-8CB8-AF7645B418AF} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Brak pliku Task: {3EFDE1F4-CCBA-47E7-BFF8-EBA451BCEC12} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku Task: {4EA494FC-0494-4264-BF5F-565EDB06EE41} - \Microsoft\Windows\Media Center\RegisterSearch -> Brak pliku Task: {54D9C6DC-217B-4256-BEE1-FD2E45997CEB} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Brak pliku Task: {5B931075-BC14-4CC8-B2EA-97F8DE86A0B6} - \Microsoft\Windows\Media Center\PBDADiscovery -> Brak pliku Task: {5FEA77D6-5A56-4B51-ADE2-9A6ABFB636B3} - \Microsoft\Windows\Media Center\mcupdate -> Brak pliku Task: {69EFC8A3-0623-49FF-88C1-0E3895D29AAB} - \Microsoft\Windows\Media Center\ehDRMInit -> Brak pliku Task: {84170554-552F-4E12-B551-9ED3534A9173} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> Brak pliku Task: {8B957F03-F793-4072-8363-49C441879D3C} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku Task: {8F72D655-EF0C-489B-8E16-B56AD18A1468} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {9676E001-2070-4594-9DE5-1984E2DE009B} - \Microsoft\Windows\Media Center\UpdateRecordPath -> Brak pliku Task: {97F0BF86-6E68-4073-A797-D0EF9E46BF2E} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> Brak pliku Task: {9ACCEC29-D06F-45D5-812A-FA0A71876C12} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> Brak pliku Task: {A9A65A43-F0E2-4DF3-84D8-F06D572F0A88} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Brak pliku Task: {B53BF6A5-62A0-4AFC-A916-C9FFFB75B730} - \Microsoft\Windows\Media Center\InstallPlayReady -> Brak pliku Task: {BAE2BA0E-EB2A-48B4-ACFD-EA28EBE03B72} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> Brak pliku Task: {DB22B199-18AF-45F3-8EA6-80353684E0E0} - \Microsoft\Windows\Media Center\RecordingRestart -> Brak pliku Task: {DCF0D733-C4B2-4827-9B88-1F2F56ABA5FE} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> Brak pliku Task: {E9C70F03-8906-4C03-8A99-3541FA4EBA8F} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Brak pliku ShortcutWithArgument: C:\Users\Nesste\AppData\Local\Dritopy\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2 C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [116] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warblade\Warblade User Manual.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infogrames Interactive\Monopoly\Play Monopoly.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infogrames Interactive\Monopoly\Readme.txt.lnk C:\ProgramData\AVG\AWL2014\StartUp Manager\Wyłącz obiekty dla wszystkich użytkowników\CodecPackUpdateChecker.lnk C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\AVG PC TuneUp.lnk C:\Users\Nesste\Start Menu\Programs\SpyHunter\SpyHunter.lnk C:\Users\Nesste\Start Menu\Programs\SpyHunter\Uninstall.lnk C:\Users\Nesste\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Screenshots.lnk C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Nesste\AppData\Local\Microsoft\Windows\GameExplorer\{355771DE-E430-4500-9542-50CBA99200E5}\PlayTasks\0\Zagraj.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\\Nesste\AppData\Local\Mozilla C:\Users\\Nesste\AppData\Roaming\Mozilla C:\Users\\Nesste\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Nesste\AppData\Local CMD: dir /a C:\Users\Nesste\AppData\LocalLow CMD: dir /a C:\Users\Nesste\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Wygeneruj nowe raporty FRST (bez GMER) oraz dostarcz raport wynikowy (Fixlog.txt).
-
W pkt. 3 mojego poprzedniego posta prosiłem tylko o wykonanie skanowania, bez stosowania opcji Oczyść. AdwCleaner jest bardzo dobrym narzędziem, ale trzeba z nim uważać, dlatego zawsze proszę o sam skan, by zweryfikować wyniki. W tym przypadku wyniki nadawały się do usunięcia, więc pół biedy. Z mojej strony sytuacja wygląda już w porządku, napisz teraz jak wygląda to z Twojej strony, czy problem ustąpił itd.
-
W raportach brak oznak infekcji. Rucek dobrze mówi, - to może być jakiś problem sprzętowy. Zaraz ktoś przeniesie Twój temat do działu Hardware, w którym dołączysz wymagane raporty - KLIK.
-
Nagła zmiana szybkości komputera
Miszel03 odpowiedział(a) na maciusek94 temat w Dział pomocy doraźnej
OK, będziemy kończyć. W razie dalszych problemów z szybkością pracy komputera załóż temat w dziale Pozostałe zagadnienia komputerowe. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK. -
Raport uzupełniony, więc możemy iść dalej. W raportach widoczne szkodliwe obiekty czyli m.in ustawione szkodliwe proxy, infekcja adware Albireo + wspomniany przez Ciebie UCGuard. Zaczynamy. 1. Włącz przywracanie systemu - KLIK. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [win_en_77] => [X] AutoConfigURL: [s-1-5-21-2293639786-2994818483-2183426564-1001] => hxxp://stoppblock.org/wpad.dat?4392482e72d26e5e142518eb8af879d514536945 ManualProxies: 0hxxp://stoppblock.org/wpad.dat?4392482e72d26e5e142518eb8af879d514536945 S3 Origin Client Service; "C:\Program Files (x86)\Origin\OriginClientService.exe" [X] S2 Origin Web Helper Service; "C:\Program Files (x86)\Origin\OriginWebHelperService.exe" [X] R1 UCGuard; C:\WINDOWS\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] 2016-07-30 12:48 - 2016-07-30 12:48 - 7129600 _____ () C:\Users\Dom\AppData\Roaming\agent.dat 2016-07-30 12:48 - 2016-07-30 12:48 - 0067968 _____ () C:\Users\Dom\AppData\Roaming\Config.xml 2016-07-30 12:48 - 2016-07-30 12:48 - 2279413 _____ () C:\Users\Dom\AppData\Roaming\Freshlight.bin 2016-07-30 12:47 - 2016-07-30 12:48 - 0014400 _____ () C:\Users\Dom\AppData\Roaming\InstallationConfiguration.xml 2016-07-30 12:47 - 2016-07-30 12:47 - 0129024 _____ () C:\Users\Dom\AppData\Roaming\Installer.dat 2016-07-30 12:48 - 2016-07-30 12:48 - 0018432 _____ () C:\Users\Dom\AppData\Roaming\Main.dat 2016-07-30 12:48 - 2016-07-30 12:47 - 0683520 _____ () C:\Users\Dom\AppData\Roaming\MatHotex.exe 2016-07-30 12:48 - 2016-07-30 12:48 - 1903257 _____ () C:\Users\Dom\AppData\Roaming\MatHotex.tst 2016-07-30 12:48 - 2016-07-30 12:48 - 0005568 _____ () C:\Users\Dom\AppData\Roaming\md.xml 2016-07-30 12:48 - 2016-07-30 12:48 - 0126464 _____ () C:\Users\Dom\AppData\Roaming\noah.dat Task: {014AE0B8-ECE3-4DB4-BF80-5B68E369F052} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files (x86)\UCBrowser Task: {7878945C-058E-483B-BE81-EC762C0F86FF} - System32\Tasks\ComputerZLite => C:\Program Files (x86)\LdsLite\LdsLite.exe C:\Program Files (x86)\LdsLite Task: {5EA3EDBA-53A2-47E6-AE95-BC6E3BA18E65} - System32\Tasks\{FBDA17B3-D69F-4DF1-B7AA-55A6800E8C60} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" C:\Program Files\SpaceSoundPro WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Dom\AppData\Local CMD: dir /a C:\Users\Dom\AppData\LocalLow CMD: dir /a C:\Users\Dom\AppData\Roaming Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt (raport wynikowy).
-
W raportach widać szczątki adware, raczej nie mającego związku z problemem. 1. Przez panel sterowania odinstaluj: Update for PriceFountain CloseProcesses:CreateRestorePoint: HKU\S-1-5-21-3789591651-800968812-4008709694-1001\...\Policies\Explorer: [] SearchScopes: HKU\S-1-5-21-3789591651-800968812-4008709694-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {13BCB9A3-F772-41D8-A8A0-2A33F8663D5C} - \WPD\SqmUpload_S-1-5-21-3789591651-800968812-4008709694-1001 -> Brak pliku Task: {35AB51A5-2184-4DFC-8FE7-162C5FEBC9F8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {76845743-0E88-4674-9D2E-11FF0912D116} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {860ABD85-5A71-42E7-AEBE-DF82EFB055B1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C4AC48EB-0C92-4E22-90AC-4CA84D0C8D58} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {CF05495D-16DC-4B35-A2C6-4E69B72888DD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).
-
A jak wygląda sytuacja na innym pendrive?
-
W raportach brak oznak infekcji, system jest praktycznie w stanie świeżości. W raporcie UsbFix wykonanego z opcji Listing nie widzę żadnych podejrzanych obiektów. Rozważ zainstalowanie oprogramowania zabezpieczającego zamię Ci to dosłownie kilka minut, a w przyszłości może Ci naprawdę pomóc. Przy wyborze możesz posługiwać się serwisowym, autorskim materiałem na ten temat: Lista darmowych i komercyjnych programów zabezpieczających. Zdejmujemy z urządzenia F:\ wszystkie atrybuty, czyli: "tylko do odczytu" "systemowy" oraz "ukryty". 1. Otwórz menu Start, wyszukaj aplikację wiersza poleceń (CMD.EXE) > z prawokliku wybierasz "Uruchom jako administrator" i w oknie wklej attrib /d /s -r -s -h F:\* (pendrive ma być podłączony) 2. Sprawdź pendrivia i napisz jak wygląda sytuacja po tym działaniu?
-
Spróbuj z poziomu trybu awaryjnego (kliknij F8 przed startem systemu). Jeśli nie przyniesie to żadnych rezultatów to przejdź do następnego punktu.
-
Czy temat jest nadal aktualny?
-
Problem powoduję nowy wariant infekcji adware (modyfikujący usługę Themes). Przykład z forum: KLIK. Do tego w raportach widać jeszcze inne rodzaje adware. Moja pomoc ogranicza się do usunięcia infekcji z systemu, czyli: m.in naprawa kompozycji Aero. Zaczynamy. 1. Przez panel sterownia odinstaluj: amuleC YAC (Yet Another Cleaner!) 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).
-
Brojacz Problem powoduję zarażona przez adware usługa. Przykład z forum: KLIK. Do tego dochodzą jeszcze inne modyfikacje np.: podmiana ścieżki uruchomienia Google Chrome na szkodliwą prefabrykowaną. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\Easthas FirewallRules: [{63F16A48-95DB-401C-9A8C-F5A647C5C84E}] => C:\Program Files (x86)\Easthas\Application\chrome.exe HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2969896548-308945159-3511119151-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://www.nicesearches.com?type=hp&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g CHR StartupUrls: Default -> "hxxp://www.nicesearches.com?type=hp&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g" CHR DefaultSearchURL: Default -> hxxp://www.nicesearches.com/search.php?type=ds&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g&q={searchTerms} CHR DefaultSearchKeyword: Default -> nice S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5] S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X] U0 aswVmm; Brak ImagePath S3 X6va063; \??\C:\Windows\SysWOW64\Drivers\X6va063 [X] Task: {17303062-0492-4201-8615-5DD70EEFCE76} - Brak ścieżki do pliku Task: {C93F5B50-4539-462E-B6D9-095E5CA086C1} - Brak ścieżki do pliku AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118] C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\0\The Sims™ 3 Studenckie życie.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\1\Przeczytaj.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\2\Umowa Użytkownika.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\3\Centrum Pomocy.lnk Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw przeglądarkę Google Chrome jako domyślną. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy). 4. Napisz czy problem ustąpił.
-
Już byśmy kończyli, ale wkradła mi się literówka do skryptu. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint:FirewallRules: [{2606A3D9-EF0C-4BD2-8D86-0500C706C8B1}] => C:\Program Files (x86)\Coldjob\Application\chrome.exe FirewallRules: [TCP Query User{4A0FFA52-48D4-4D72-90C3-BD52962368F3}C:\program files (x86)\bedhat\application\chrome.exe] => C:\program files (x86)\bedhat\application\chrome.exe FirewallRules: [uDP Query User{E534F20B-DB8C-497B-A754-E55646B75AAD}C:\program files (x86)\bedhat\application\chrome.exe] => C:\program files (x86)\bedhat\application\chrome.exe RemoveDirectory: C:\ProgramData\ficfi RemoveDirectory: C:\ProgramData\cficf RemoveDirectory: C:\Users\MAG\AppData\Roaming\ibfib RemoveDirectory: C:\ProgramData\hadga RemoveDirectory: C:\ProgramData\hbeha RemoveDirectory: C:\ProgramData\hps RemoveDirectory: C:\ProgramData\jcfic RemoveDirectory: C:\ProgramData\jdgjc RemoveDirectory: C:\ProgramData\ttff EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy). 3. Podsumuj obecną sytuację.
-
Ucguard - reklamy - problem z AdCleanerem
Miszel03 odpowiedział(a) na Biartyy temat w Dział pomocy doraźnej
1. Przez panel sterowania odisntaluj: amuleC, McAfee Security Scan Plus. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {1890E3A3-B36B-43C2-911B-72DE0C8F8989} - System32\Tasks\d064844f7814ad7c35be8f9196931919 => Rundll32.exe "C:\Program Files (x86)\DOSBox-0.72\gj5voc.dll",e62dc6c6547f46bda862da2d05af6862 Task: {4C71A57B-B49B-45F0-B4EF-C2542BF79DEF} - \PPI Update -> Brak pliku Task: {8484F60D-7F7C-452C-B9E3-C2BCD892DF7C} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {E3D4FAA7-8CA5-4B2A-A5E8-414D0F76CDC7} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) C:\Program Files (x86)\UCBrowser C:\ProgramData\ChelfNotify ShortcutWithArgument: C:\Users\biartyy\Desktop\Wurm Online.lnk -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://www.wurmonline.com/client/wurmclient.jnlp "C:\Users\biartyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\5fef8269-5fc80b7e" ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wurm Online\Wurm Online.lnk -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://www.wurmonline.com/client/wurmclient.jnlp "C:\Users\biartyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\5fef8269-5fc80b7e" ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Setmy\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5993945003975900\Google Chrome.lnk -> C:\Program Files (x86)\Setmy\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk HKU\S-1-5-18\...\Run: [] => 0 Startup: C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monhost.lnk [2016-10-27] ShortcutTarget: monhost.lnk -> C:\Users\biartyy\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe (Brak pliku) GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKU\S-1-5-21-1339383410-1821958394-229966200-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKU\S-1-5-21-1339383410-1821958394-229966200-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKU\S-1-5-21-1339383410-1821958394-229966200-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKU\S-1-5-21-1339383410-1821958394-229966200-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO: Brak nazwy -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku S2 WISvc; C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCacher.dll [X] R2 ed2kidle; C:\Program Files (x86)\amuleC\ed2k.exe [237568 2016-11-02] (hxxp://www.amule.org/) [brak podpisu cyfrowego] C:\Program Files (x86)\amuleC R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160128.003\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160128.003\EX64.SYS [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\biartyy\AppData\Local\Mozilla C:\Users\biartyy\AppData\Roaming\Mozilla C:\Users\biartyy\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\Programdata\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\biartyy\AppData\Local CMD: dir /a C:\Users\biartyy\AppData\LocalLow CMD: dir /a C:\Users\biartyy\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw Google Chrome jako domyślną przeglądarkę. 4. Użyj (najnowszej wersji) AdwCleaner (teraz powinno Ci się udać) uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 5. Wygeneruj nowe raporty FRST (bez GMER).