Skocz do zawartości
Nadchodzące zmiany w logowaniu

Miszel03

Moderatorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    2 329

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Odpowiedzi opublikowane przez Miszel03

  1. Komputer wolno działa, niechciane reklamy.

    w Dział pomocy doraźnej

    Opublikowano

    W raportach widoczne adware, liczne przekierowania na śmieciową wyszukiwarkę mylucky123, fałszywą, szkodliwą aplikację podszywającą się pod przeglądarkę Google Chrome (Redjane) oraz zanieczyszczony plik Hosts.
     
    1. Włącz przywracanie systemu.
     
    2. Otwórz Notatnik w nim wklej:
     

    CloseProcesses:
    CreateRestorePoint:
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms}
    HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080
    HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080&q={searchTerms}
    Edge HomeButtonPage: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080
    CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1474268776&z=53f631309a7ab7cf89c6988g8zbm1z6o4q1b7m2m5q&from=wpm0616&uid=ST750LM022XHN-M750MBB_S2RRJ9ECB05080"
    S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X]
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    Task: {E18C1E11-A45B-42DD-833E-3BF35B1D5DB1} - System32\Tasks\RedjaneUpdateTaskMachineUA => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe Task: {ED41BEBA-E7E8-4F2C-895E-4B394794CDE9} - System32\Tasks\RedjaneUpdateTaskMachineCore => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe C:\Program Files (x86)\Redjane
    C:\ProgramData\Redjane
    FirewallRules: [{754F550F-88C1-455D-B3B9-8494240BCD80}] => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe
    FirewallRules: [{2EBD188A-39E8-46E5-A577-0B3829360E9F}] => C:\Program Files (x86)\Redjane\Application\chrome.exe
    FirewallRules: [{4F45EB23-C9F0-4409-A1A1-10EF09C11015}] => C:\ProgramData\Redjane\Redjane.exe
    C:\Users\Adrian\Downloads\redsn0w_win_0.9.14b1\redsn0w_win_0.9.14b1\boot-ipt4g.lnk
    C:\Users\Adrian\Desktop\pulpit\Cities Skylines Deluxe Edition.lnk
    C:\Users\Adrian\Desktop\pulpit\LEGO Marvels Avengers.lnk
    C:\Users\Adrian\Desktop\pulpit\Samorost 3.lnk
    C:\Users\Adrian\Desktop\pulpit\TheForest
    C:\Users\Adrian\Desktop\pulpit\Warhammer 40000 - Dawn of War II Gold Edition.lnk
    C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samorost 3 [GOG.com]\Samorost 3.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samorost 3 [GOG.com]\Uninstall Samorost 3.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LEGO STAR WARS The Force Awakens\LEGO STAR WARS The Force Awakens.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LEGO STAR WARS The Force Awakens\Uninstall LEGO STAR WARS The Force Awakens.lnk
    Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
    Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f
    CMD: dir /a "C:\Program Files"
    CMD: dir /a "C:\Program Files (x86)"
    CMD: dir /a "C:\Program Files\Common Files\System"
    CMD: dir /a "C:\Program Files (x86)\Common Files\System"
    CMD: dir /a C:\ProgramData
    CMD: dir /a C:\Users\Adrian\AppData\Local
    CMD: dir /a C:\Users\Adrian\AppData\LocalLow
    CMD: dir /a C:\Users\Adrian\AppData\Roaming
    Hosts:
    EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
     
    3. Wyczyść Google Chrome:
    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

    4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 
     
    5. Zrób nowy zestaw raportów FRST (bez GMERa) oraz dołącz raport wynikowy (Fixlog.txt).

  4. Prawdopodobna infekcja/ komputer chodzi wolniej od jakiegoś czasu / spadki fps i pracy w środowiskach programistycznych .

    w Dział pomocy doraźnej

    Opublikowano

    W raportach brak oznak infekcji.

     

    W spoilerze sprawy poboczne: kasacja pustych skrótów, wpisów itd. 

     

     

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-981421183-1387059128-155499913-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {A43BE3D8-C024-4339-93D6-B09DAD406E72} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: Brak nazwy -> {7549CA81-7BB5-41AF-AF7D-4689F5CF8340} -> Brak pliku
BHO-x32: Brak nazwy -> {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} -> Brak pliku
Toolbar: HKLM - Brak nazwy - {0124123D-61B4-456f-AF86-78C53A0790C5} -  Brak pliku
Toolbar: HKU\S-1-5-21-981421183-1387059128-155499913-1001 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -  Brak pliku
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  Brak pliku
U0 aswVmm; Brak ImagePath
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 RtlWlanu; system32\DRIVERS\rtwlanu.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\Razer\Razer Game Booster\Driver\WinRing0x64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
U3 awloiuog; \??\C:\Users\7\AppData\Local\Temp\awloiuog.sys [X]
Task: {AC5A41B3-6B40-46A3-B2E7-4A7C8A284944} - System32\Tasks\{3AE764A7-F157-40FC-BE81-89E964610CF7} => pcalua.exe -a C:\Users\7\AppData\Local\Temp\install_virtualdj_home_v7.0.5.exe -d C:\Windows\system32 -c 197802 
C:\Users\7\Desktop\drjava-beta-20160913-225446.exe — skrót.lnk
C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Picasa 3.lnk
C:\Users\7\AppData\Local\Microsoft\Windows\GameExplorer\{2026029A-A8D1-4DA7-ADEE-A627271ABD1E}\PlayTasks\0\Zagraj.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer\San Andreas Multiplayer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gwent [GOG.com]\Gwent.lnk
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

     

    2. Nie musisz dostarczać raportu wynikowego oraz nowych logów.

     

     

  9. Pendrive

    w Hardware

    Opublikowano

    To nie jest problem infekcji.

     

    ################## | F:\ - Removable drive (exFAT) |

    [30/11/2016 - 18:51:18 | D] - F:\[AgusiQ-Torrents.pl]Free.State.of.Jones.2016.PL.720p.BDRip.AC3.XviD-Floki
    [01/09/2016 - 08:48:54 | D] - F:\St.Vincent.2014.PL.720p.BRRip._dabrjarek.XviD
    [11/12/2016 - 16:19:55 | A | 0 Ko] - F:\Nowy dokument tekstowy.txt
    [04/04/2016 - 20:53:26 | A | 2 Ko] - F:\odwolanie3.rtf
    [11/11/2016 - 19:33:34 | D] - F:\[AgusiQ-TorrentS.pl] The.Infiltrator.2016.PL-KiT [AgusiQ]
    [26/05/2016 - 07:12:00 | D] - F:\[FileTracker.pl]Kingsman Tajne sluzby 720p[wilu75]
    [05/12/2016 - 11:40:04 | D] - F:\[FileTracker.pl]John Wick
    [20/11/2016 - 12:21:34 | D] - F:\[FileTracker.pl]Dzień Bastylii 720px264[wilu75]
    [26/05/2016 - 07:50:18 | D] - F:\[ELECTRO-TORRENT.PL] The big short x264 720p
    [30/07/2016 - 13:53:50 | D] - F:\[ELECTRO-TORRENT.PL] Sluzby specjalne (2015)
    [11/12/2016 - 12:35:42 | D] - F:\[aletorrenty.pl] Prawo Bronxu (1993) [AT-Team]
    [23/08/2016 - 19:50:32 | D] - F:\[ELECTRO-TORRENT.PL] Pitbull Nowe porzadki 2016 PL DVDRip XviD-KiT
    [17/07/2016 - 09:26:00 | D] - F:\[ELECTRO-TORRENT.PL] Obecność 720p
    [16/10/2016 - 13:28:46 | D] - F:\[ELECTRO-TORRENT.PL] La famile 720p
    [21/08/2016 - 13:40:46 | D] - F:\[ELECTRO-TORRENT.PL] Horrible Bosses 2 2014 PL THEATRiCAL 480p BRRip XViD AC3-NOiSE
    [04/12/2016 - 19:45:24 | D] - F:\[bEST-TORRENTY.PL] Bastille Day 2016 PL 720p BluRay x264 AC3-K12
    [30/07/2016 - 13:49:56 | D] - F:\[ devil-torrents.pl ] Zaginiona dziewczyna
    [30/07/2016 - 13:56:44 | D] - F:\[ devil-torrents.pl ] Gość
    [09/05/2016 - 19:28:16 | D] - F:\[ DEVIL-TORRENTS.PL ] Deadpool
    [06/12/2016 - 15:43:12 | RA | 4872896 Ko] - F:\Bad.Moms.2016.PL.720p.BluRay.x264-BRY.mkv
    [12/11/2016 - 18:17:40 | D] - F:\[AgusiQ-TorrentS.pl] Nice.Guys.2016.PL.720p.K12 [jans12]
    [25/09/2016 - 11:26:50 | D] - F:\La.Grande.Bellezza 2013 [TnT24.Info]
    [25/09/2016 - 12:08:16 | D] - F:\Jagten 2012 PL 720p BRRip AC3 XviD CiNEMAET-SAVED [TnT24.Info]
    [23/10/2016 - 13:03:44 | D] - F:\Koneser (2013) [TnT24.Info]
    [30/11/2016 - 21:30:06 | D] - F:\[Polskie-Torrenty.com] Rekiny wojny [720p] [bluRay] [Lektor PL]
    [24/07/2016 - 21:36:14 | RA | 2181676 Ko] - F:\Za Jakie Grzechy Dobry Boże - Qu'est-ce qu'on a fait au Bon Dieu (2014) [720p] [bRRip] [XviD] [AC3-SLiSU] [Lektor PL].avi
    [31/10/2016 - 19:33:48 | RA | 1433568 Ko] - F:\An.American.Crime.2007.PL.AC3.BRRip.XviD-TVM4iN.avi
    [12/11/2016 - 18:13:26 | D] - F:\[Electro-Torrent.pl] Mike.and.Dave.Need.Wedding.Dates.2016.PL.720p.BRRip.XViD.AC3-OzW
    [30/07/2016 - 13:54:56 | D] - F:\7 Edge.of.Tomorrow.2014.PL.480p.BRRip.XViD.AC3-MORS
    [21/07/2016 - 20:33:18 | D] - F:\[bEST - TORRENTS.NET] Gran.Torino.2008.PL.720p.BDRip.XviD.AC3-ELiTE
    [02/09/2016 - 19:36:56 | D] - F:\Were.The.Millers.2013.THEATRiCAL.CUT.PL.480p.BDRip.XviD.AC3-ELiTE
    [13/11/2016 - 18:21:56 | D] - F:\[AgusiQ-Torrents.pl]Racing.Extinction.2015.PL.720p.BDRip.XviD.AC3-ELiTE
    [05/12/2016 - 13:38:02 | D] - F:\[AgusiQ-TorrentS.pl] Cartel.Land.2015.PL.BluRay.720p-KRT [AgusiQ]
    [29/08/2016 - 19:36:16 | D] - F:\Pride (2014)
    [29/08/2016 - 19:38:30 | D] - F:\Birdman (2014)[bRRip][XviD-torentup][Lektor PL]
    [05/09/2016 - 15:58:28 | D] - F:\Wszystko za życie(wstawka poprawiona)(BadBoy85)
    [25/09/2016 - 11:30:40 | D] - F:\Życie na podsłuchu - Das Leben der Anderen (2006)
    [31/10/2016 - 17:43:14 | D] - F:\The Lincoln Lawyer 480p ac3 pl 2011
    [11/12/2016 - 12:06:42 | D] - F:\KOMPUTER

     

    Czy to co jest widoczne powyżej jest widoczne w eksploratorze Windows? Jeśli tak to na tym pendrive nie ma żadnych innych danych. Jeśli jednak nie widzisz kompletnie nic to zastanawia mnie ten system plików:

     

    F:\ - Removable drive (exFAT)

     

    Windows 7 powinien go obsługiwać natywnie, ale kto wie czy nie tu właśnie jest problem. Zaraz Twój temat zostanie przeniesiony do działu Hardware skąd poczekasz najlepiej na odzew Groszexxx.

  11. Google chrome:brak pliku manifestu lub nie można go odczytać (C:Users\AppData\local\kemgadeojglibflomicgnfeopkdfflnk)

    w Dział pomocy doraźnej

    Opublikowano

    1. W AdwCleaner powtórz czynność skanowania, ale po niej kliknij w Oczyść. Dostarcz raport z tego działania. 

     

    2. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:

    CreateRestorePoint:
    
Task: {0405163B-E7DE-47A8-BAE1-86B2EED7B1FC} - System32\Tasks\d6a959b4fd1aaa581ab458d9d73c08ff => Rundll32.exe "C:\Program Files (x86)\BRS\0oo5rc.dll",e62dc6c6547f46bda862da2d05af6862 
C:\Program Files (x86)\UCBrowser
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

     

    3. Nie musisz dostarczać raportu wynikowego (Fixlog.txt).

    Napisz czy problem ustąpił. 

  12. Google chrome:brak pliku manifestu lub nie można go odczytać (C:Users\AppData\local\kemgadeojglibflomicgnfeopkdfflnk)

    w Dział pomocy doraźnej

    Opublikowano

    W raportach widoczne szkodliwe modyfikacje (zarażone skróty LNK wraz z automatycznym ładowaniem rozszerzenia z prefabrykowanej lokalizacji) wyszukiwarki yeabd66.cc. Oprócz tego w raportach widać szczątki po innych infekcjach adware i programach (głównie po przeglądarce FireFox).
     
    Zaczynamy.
     
    1. Otwórz Notatnik w nim wklej:
     
    CloseProcesses:
    CreateRestorePoint:
    

    HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
    

    ShellExecuteHooks:  - {3F1B64C0-AA92-11E6-B58E-64006A5CFC23} - C:\Users\Nesste\AppData\Roaming\Elukweceward\Tiwale.dll Brak pliku [ ]
    

    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
    

    ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
    

    ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
    

    ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
    

    ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
    

    GroupPolicy: Ograniczenia - Chrome 
    GroupPolicy\User: Ograniczenia 
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
    HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
    

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
    

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    

    

    HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
    

    URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
    

    SearchScopes: HKLM -> DefaultScope {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = 
    

    SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = 
    

    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    

    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    

    

    SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    

    SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL =
    

    SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> DefaultScope {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms}
    

    SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} 
    

    CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=154
    

    CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=154","hxxp://www.istartsurf.com/?type=hp&ts=1409675265&from=smt&uid=ST1500DM003-9YN16G_W1E2QME9XXXXW1E2QME9"
    

    OPR Extension: (CinPl2.3c) - C:\Users\Nesste\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhnjdejfbngngppihmpgncfnpfdaglhg [2014-09-02]
    

    

    S2 BstHdUpdaterSvc; C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe [X]
    

    S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X]
    

    S2 PlaysService; "C:\Program Files (x86)\Raptr Inc\PlaysTV\plays_service.exe" [X]
    

    S3 ALSysIO; Brak ImagePath
    

    S3 BRDriver64_1_3_3_E02B25FC; Brak ImagePath
    

    

    S3 EagleX64; Brak ImagePath
    

    S3 gdrv; Brak ImagePath
    

    

    U0 aswVmm; Brak ImagePath
    

    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    

    S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X]
    

    S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X]
    

    S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X]
    

    S3 qcusbnet; system32\DRIVERS\qcusbnet.sys [X]
    

    S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
    

    

    2016-03-19 19:24 - 2016-03-19 19:24 - 6493696 _____ () C:\Users\Nesste\AppData\Roaming\agent.dat
    

    2016-03-19 19:24 - 2016-03-19 19:24 - 0127488 _____ () C:\Users\Nesste\AppData\Roaming\Installer.dat
    

    2016-03-19 19:24 - 2016-03-19 19:24 - 0018432 _____ () C:\Users\Nesste\AppData\Roaming\Main.dat
    

    Task: {0B825389-7CFF-4F71-9C7F-280C123F5173} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> Brak pliku 
    Task: {230F544D-4F40-445F-92C8-8357185B6100} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> Brak pliku 
    Task: {346EDB4C-62B6-467D-8CC4-E0217ABB6FA5} - \Microsoft\Windows\Media Center\OCURActivate -> Brak pliku 
    Task: {3EB9619C-CF63-4E2A-8CB8-AF7645B418AF} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Brak pliku 
    Task: {3EFDE1F4-CCBA-47E7-BFF8-EBA451BCEC12} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku 
    Task: {4EA494FC-0494-4264-BF5F-565EDB06EE41} - \Microsoft\Windows\Media Center\RegisterSearch -> Brak pliku 
    Task: {54D9C6DC-217B-4256-BEE1-FD2E45997CEB} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Brak pliku 
    Task: {5B931075-BC14-4CC8-B2EA-97F8DE86A0B6} - \Microsoft\Windows\Media Center\PBDADiscovery -> Brak pliku 
    Task: {5FEA77D6-5A56-4B51-ADE2-9A6ABFB636B3} - \Microsoft\Windows\Media Center\mcupdate -> Brak pliku 
    Task: {69EFC8A3-0623-49FF-88C1-0E3895D29AAB} - \Microsoft\Windows\Media Center\ehDRMInit -> Brak pliku 
    

    Task: {84170554-552F-4E12-B551-9ED3534A9173} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> Brak pliku 
    Task: {8B957F03-F793-4072-8363-49C441879D3C} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku 
    Task: {8F72D655-EF0C-489B-8E16-B56AD18A1468} - \Program aktualizacji online firmy Adobe. -> Brak pliku 
    Task: {9676E001-2070-4594-9DE5-1984E2DE009B} - \Microsoft\Windows\Media Center\UpdateRecordPath -> Brak pliku 
    Task: {97F0BF86-6E68-4073-A797-D0EF9E46BF2E} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> Brak pliku 
    Task: {9ACCEC29-D06F-45D5-812A-FA0A71876C12} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> Brak pliku 
    Task: {A9A65A43-F0E2-4DF3-84D8-F06D572F0A88} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Brak pliku 
    Task: {B53BF6A5-62A0-4AFC-A916-C9FFFB75B730} - \Microsoft\Windows\Media Center\InstallPlayReady -> Brak pliku 
    Task: {BAE2BA0E-EB2A-48B4-ACFD-EA28EBE03B72} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> Brak pliku 
    Task: {DB22B199-18AF-45F3-8EA6-80353684E0E0} - \Microsoft\Windows\Media Center\RecordingRestart -> Brak pliku 
    Task: {DCF0D733-C4B2-4827-9B88-1F2F56ABA5FE} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> Brak pliku 
    Task: {E9C70F03-8906-4C03-8A99-3541FA4EBA8F} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Brak pliku 
    

    ShortcutWithArgument: C:\Users\Nesste\AppData\Local\Dritopy\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
    

    ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/
    

    ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/
    

    ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/
    

    ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/
    

    ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/
    

    ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2
    

    

    C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
    

    C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
    

    

    AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [116]
    

    
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warblade\Warblade User Manual.lnk

    

    
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infogrames Interactive\Monopoly\Play Monopoly.lnk

    

    
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infogrames Interactive\Monopoly\Readme.txt.lnk

    

    
C:\ProgramData\AVG\AWL2014\StartUp Manager\Wyłącz obiekty dla wszystkich użytkowników\CodecPackUpdateChecker.lnk

    

    
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\AVG PC TuneUp.lnk

    

    
C:\Users\Nesste\Start Menu\Programs\SpyHunter\SpyHunter.lnk

    

    
C:\Users\Nesste\Start Menu\Programs\SpyHunter\Uninstall.lnk

    

    
C:\Users\Nesste\Documents\Euro Truck Simulator 2\readme.rtf.lnk

    

    
C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Screenshots.lnk

    

    
C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk

    

    
C:\Users\Nesste\AppData\Local\Microsoft\Windows\GameExplorer\{355771DE-E430-4500-9542-50CBA99200E5}\PlayTasks\0\Zagraj.lnk

    

    DeleteKey: HKCU\Software\Mozilla
    
DeleteKey: HKCU\Software\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Mozilla
    DeleteKey: HKLM\SOFTWARE\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
    C:\Users\\Nesste\AppData\Local\Mozilla
    C:\Users\\Nesste\AppData\Roaming\Mozilla
    C:\Users\\Nesste\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla

    

    CMD: dir /a "C:\Program Files"
    

    CMD: dir /a "C:\Program Files (x86)"
    

    CMD: dir /a "C:\Program Files\Common Files\System"
    

    CMD: dir /a "C:\Program Files (x86)\Common Files\System"
    

    CMD: dir /a C:\ProgramData
    

    CMD: dir /a C:\Users\Nesste\AppData\Local
    

    CMD: dir /a C:\Users\Nesste\AppData\LocalLow
    

    CMD: dir /a C:\Users\Nesste\AppData\Roaming
    

    

    

    

    

    

    

    

    

    

    

    

    

    
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).
     
    2. Wyczyść Google Chrome:
    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
    3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 
     
    4. Wygeneruj nowe raporty FRST (bez GMER) oraz dostarcz raport wynikowy (Fixlog.txt).

  • Ucguard - reklamy

    w Dział pomocy doraźnej

    Opublikowano

    W pkt. 3 mojego poprzedniego posta prosiłem tylko o wykonanie skanowania, bez stosowania opcji Oczyść. AdwCleaner jest bardzo dobrym narzędziem, ale trzeba z nim uważać, dlatego zawsze proszę o sam skan, by zweryfikować wyniki. W tym przypadku wyniki nadawały się do usunięcia, więc pół biedy. Z mojej strony sytuacja wygląda już w porządku, napisz teraz jak wygląda to z Twojej strony, czy problem ustąpił itd.

  • Ucguard - reklamy

    w Dział pomocy doraźnej

    Opublikowano

    Raport uzupełniony, więc możemy iść dalej. W raportach widoczne szkodliwe obiekty czyli m.in ustawione szkodliwe proxy, infekcja adware Albireo + wspomniany przez Ciebie UCGuard

     

    Zaczynamy. 

     

    1. Włącz przywracanie systemu - KLIK.

     

    2. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [win_en_77] => [X]
AutoConfigURL: [s-1-5-21-2293639786-2994818483-2183426564-1001] => hxxp://stoppblock.org/wpad.dat?4392482e72d26e5e142518eb8af879d514536945
ManualProxies: 0hxxp://stoppblock.org/wpad.dat?4392482e72d26e5e142518eb8af879d514536945
S3 Origin Client Service; "C:\Program Files (x86)\Origin\OriginClientService.exe" [X]
S2 Origin Web Helper Service; "C:\Program Files (x86)\Origin\OriginWebHelperService.exe" [X]
R1 UCGuard; C:\WINDOWS\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) 
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
2016-07-30 12:48 - 2016-07-30 12:48 - 7129600 _____ () C:\Users\Dom\AppData\Roaming\agent.dat
2016-07-30 12:48 - 2016-07-30 12:48 - 0067968 _____ () C:\Users\Dom\AppData\Roaming\Config.xml
2016-07-30 12:48 - 2016-07-30 12:48 - 2279413 _____ () C:\Users\Dom\AppData\Roaming\Freshlight.bin
2016-07-30 12:47 - 2016-07-30 12:48 - 0014400 _____ () C:\Users\Dom\AppData\Roaming\InstallationConfiguration.xml
2016-07-30 12:47 - 2016-07-30 12:47 - 0129024 _____ () C:\Users\Dom\AppData\Roaming\Installer.dat
2016-07-30 12:48 - 2016-07-30 12:48 - 0018432 _____ () C:\Users\Dom\AppData\Roaming\Main.dat
2016-07-30 12:48 - 2016-07-30 12:47 - 0683520 _____ () C:\Users\Dom\AppData\Roaming\MatHotex.exe
2016-07-30 12:48 - 2016-07-30 12:48 - 1903257 _____ () C:\Users\Dom\AppData\Roaming\MatHotex.tst
2016-07-30 12:48 - 2016-07-30 12:48 - 0005568 _____ () C:\Users\Dom\AppData\Roaming\md.xml
2016-07-30 12:48 - 2016-07-30 12:48 - 0126464 _____ () C:\Users\Dom\AppData\Roaming\noah.dat
Task: {014AE0B8-ECE3-4DB4-BF80-5B68E369F052} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
C:\Program Files (x86)\UCBrowser
Task: {7878945C-058E-483B-BE81-EC762C0F86FF} - System32\Tasks\ComputerZLite => C:\Program Files (x86)\LdsLite\LdsLite.exe 
C:\Program Files (x86)\LdsLite
Task: {5EA3EDBA-53A2-47E6-AE95-BC6E3BA18E65} - System32\Tasks\{FBDA17B3-D69F-4DF1-B7AA-55A6800E8C60} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
C:\Program Files\SpaceSoundPro
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Dom\AppData\Local
CMD: dir /a C:\Users\Dom\AppData\LocalLow
CMD: dir /a C:\Users\Dom\AppData\Roaming
Hosts:
RemoveProxy:
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

     

    3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

     

    4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt (raport wynikowy).

  • Zawieszanie, lagowanie się filmików

    w Windows 10

    Opublikowano

    W raportach widać szczątki adware, raczej nie mającego związku z problemem. 

     

    1. Przez panel sterowania odinstaluj: Update for PriceFountain

     

    CloseProcesses:
    CreateRestorePoint:
    
HKU\S-1-5-21-3789591651-800968812-4008709694-1001\...\Policies\Explorer: [] 
SearchScopes: HKU\S-1-5-21-3789591651-800968812-4008709694-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S3 dbx; system32\DRIVERS\dbx.sys [X]
Task: {13BCB9A3-F772-41D8-A8A0-2A33F8663D5C} - \WPD\SqmUpload_S-1-5-21-3789591651-800968812-4008709694-1001 -> Brak pliku 
Task: {35AB51A5-2184-4DFC-8FE7-162C5FEBC9F8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {76845743-0E88-4674-9D2E-11FF0912D116} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {860ABD85-5A71-42E7-AEBE-DF82EFB055B1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {C4AC48EB-0C92-4E22-90AC-4CA84D0C8D58} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {CF05495D-16DC-4B35-A2C6-4E69B72888DD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

     

    2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

     

    3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

  • Pendrive

    w Hardware

    Opublikowano

    W raportach brak oznak infekcji, system jest praktycznie w stanie świeżości. W raporcie UsbFix wykonanego z opcji Listing nie widzę żadnych podejrzanych obiektów.

    Rozważ zainstalowanie oprogramowania zabezpieczającego zamię Ci to dosłownie kilka minut, a w przyszłości może Ci naprawdę pomóc. Przy wyborze możesz posługiwać się serwisowym, autorskim materiałem na ten temat: Lista darmowych i komercyjnych programów zabezpieczających.

     

     

    Zdejmujemy z urządzenia F:\ wszystkie atrybuty, czyli: "tylko do odczytu" "systemowy" oraz "ukryty".

     

    1. Otwórz menu Start, wyszukaj aplikację wiersza poleceń (CMD.EXE) > z prawokliku wybierasz "Uruchom jako administrator" i w oknie wklej attrib /d /s -r -s -h F:\* (pendrive ma być podłączony) 

     

    2. Sprawdź pendrivia i napisz jak wygląda sytuacja po tym działaniu?

  • Problemy z systemem

    w Windows 7

    Opublikowano

    Problem powoduję nowy wariant infekcji adware (modyfikujący usługę Themes). Przykład z forum: KLIK. Do tego w raportach widać jeszcze inne rodzaje adware. Moja pomoc ogranicza się do usunięcia infekcji z systemu, czyli: m.in naprawa kompozycji Aero.

     

    Zaczynamy.

     

    1. Przez panel sterownia odinstaluj:

    • amuleC
    • YAC (Yet Another Cleaner!)

    2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

     

    3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

  • Problem kompozycje/aero Windows 7

    w Windows 7

    Opublikowano

    Brojacz

     

    Problem powoduję zarażona przez adware usługa. Przykład z forum: KLIK. Do tego dochodzą jeszcze inne modyfikacje np.: podmiana ścieżki uruchomienia Google Chrome na szkodliwą prefabrykowaną.

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
    CreateRestorePoint:
    

    C:\Program Files (x86)\Easthas
    

    FirewallRules: [{63F16A48-95DB-401C-9A8C-F5A647C5C84E}] => C:\Program Files (x86)\Easthas\Application\chrome.exe
    
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1

    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
    

    GroupPolicy: Ograniczenia - Chrome 
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
    

    

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
    

    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    

    

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    

    HKU\S-1-5-21-2969896548-308945159-3511119151-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
    

    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    

    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    

    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    

    

    CHR HomePage: Default -> hxxp://www.nicesearches.com?type=hp&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g
    

    CHR StartupUrls: Default -> "hxxp://www.nicesearches.com?type=hp&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g"
    

    CHR DefaultSearchURL: Default -> hxxp://www.nicesearches.com/search.php?type=ds&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g&q={searchTerms}
    

    CHR DefaultSearchKeyword: Default -> nice
    

    S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]
    

    S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X]
    

    U0 aswVmm; Brak ImagePath
    

    S3 X6va063; \??\C:\Windows\SysWOW64\Drivers\X6va063 [X]
    

    Task: {17303062-0492-4201-8615-5DD70EEFCE76} - Brak ścieżki do pliku
    

    Task: {C93F5B50-4539-462E-B6D9-095E5CA086C1} - Brak ścieżki do pliku
    

    AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118]
    

    C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\0\The Sims™ 3 Studenckie życie.lnk
    

    C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\1\Przeczytaj.lnk
    

    C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\2\Umowa Użytkownika.lnk
    

    C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\3\Centrum Pomocy.lnk
    

    Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
    

    Hosts:
    

    

    

    

    
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
     
    2. Wyczyść Google Chrome:
    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
    • Ustaw przeglądarkę Google Chrome jako domyślną.

    3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

     

    4. Napisz czy problem ustąpił. 

  • mylucky123

    w Dział pomocy doraźnej

    Opublikowano

    Już byśmy kończyli, ale wkradła mi się literówka do skryptu.

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
    

    CreateRestorePoint:FirewallRules: [{2606A3D9-EF0C-4BD2-8D86-0500C706C8B1}] => C:\Program Files (x86)\Coldjob\Application\chrome.exe
    

    

    FirewallRules: [TCP Query User{4A0FFA52-48D4-4D72-90C3-BD52962368F3}C:\program files (x86)\bedhat\application\chrome.exe] => C:\program files (x86)\bedhat\application\chrome.exe
    

    

    FirewallRules: [uDP Query User{E534F20B-DB8C-497B-A754-E55646B75AAD}C:\program files (x86)\bedhat\application\chrome.exe] => C:\program files (x86)\bedhat\application\chrome.exe
    

    

    RemoveDirectory: C:\ProgramData\ficfi
    

    

    RemoveDirectory: C:\ProgramData\cficf
    

    

    RemoveDirectory: C:\Users\MAG\AppData\Roaming\ibfib
    

    

    RemoveDirectory: C:\ProgramData\hadga
    

    

    RemoveDirectory: C:\ProgramData\hbeha
    

    

    RemoveDirectory: C:\ProgramData\hps
    

    

    RemoveDirectory: C:\ProgramData\jcfic
    

    

    RemoveDirectory: C:\ProgramData\jdgjc
    

    

    RemoveDirectory: C:\ProgramData\ttff
    

    

    EmptyTemp:


     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    2. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

     

    3. Podsumuj obecną sytuację. 

  • Ucguard - reklamy - problem z AdCleanerem

    w Dział pomocy doraźnej

    Opublikowano

    1. Przez panel sterowania odisntaluj: amuleCMcAfee Security Scan Plus.
     
    2. Otwórz Notatnik w nim wklej:
     

    CloseProcesses:
    CreateRestorePoint:
    Task: {1890E3A3-B36B-43C2-911B-72DE0C8F8989} - System32\Tasks\d064844f7814ad7c35be8f9196931919 => Rundll32.exe "C:\Program Files (x86)\DOSBox-0.72\gj5voc.dll",e62dc6c6547f46bda862da2d05af6862 Task: {4C71A57B-B49B-45F0-B4EF-C2542BF79DEF} - \PPI Update -> Brak pliku Task: {8484F60D-7F7C-452C-B9E3-C2BCD892DF7C} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {E3D4FAA7-8CA5-4B2A-A5E8-414D0F76CDC7} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) C:\Program Files (x86)\UCBrowser
    C:\ProgramData\ChelfNotify
    ShortcutWithArgument: C:\Users\biartyy\Desktop\Wurm Online.lnk -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://www.wurmonline.com/client/wurmclient.jnlp "C:\Users\biartyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\5fef8269-5fc80b7e"
    ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wurm Online\Wurm Online.lnk -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://www.wurmonline.com/client/wurmclient.jnlp "C:\Users\biartyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\5fef8269-5fc80b7e"
    ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Setmy\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
    ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5993945003975900\Google Chrome.lnk -> C:\Program Files (x86)\Setmy\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
    C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
    C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
    C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
    C:\Users\Public\Desktop\Google Chrome.lnk
    HKU\S-1-5-18\...\Run: [] => 0
    Startup: C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monhost.lnk [2016-10-27] ShortcutTarget: monhost.lnk -> C:\Users\biartyy\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe (Brak pliku)
    GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
    HKU\S-1-5-21-1339383410-1821958394-229966200-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
    HKU\S-1-5-21-1339383410-1821958394-229966200-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1339383410-1821958394-229966200-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1339383410-1821958394-229966200-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
    BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
    BHO: Brak nazwy -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku
    BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
    S2  WISvc; C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCacher.dll [X]
    R2 ed2kidle; C:\Program Files (x86)\amuleC\ed2k.exe [237568 2016-11-02] (hxxp://www.amule.org/) [brak podpisu cyfrowego] C:\Program Files (x86)\amuleC
    R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 MSICDSetup; \??\E:\CDriver64.sys [X]
    S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160128.003\ENG64.SYS [X]
    S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160128.003\EX64.SYS [X]
    S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
    Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
    Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f
    DeleteKey: HKCU\Software\Mozilla
    DeleteKey: HKCU\Software\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Mozilla
    DeleteKey: HKLM\SOFTWARE\MozillaPlugins
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
    C:\Users\biartyy\AppData\Local\Mozilla
    C:\Users\biartyy\AppData\Roaming\Mozilla
    C:\Users\biartyy\AppData\Roaming\Profiles
    C:\Program Files (x86)\Mozilla Firefox
    C:\Programdata\Mozilla
    CMD: dir /a "C:\Program Files"
    CMD: dir /a "C:\Program Files (x86)"
    CMD: dir /a "C:\Program Files\Common Files\System"
    CMD: dir /a "C:\Program Files (x86)\Common Files\System"
    CMD: dir /a C:\ProgramData
    CMD: dir /a C:\Users\biartyy\AppData\Local
    CMD: dir /a C:\Users\biartyy\AppData\LocalLow
    CMD: dir /a C:\Users\biartyy\AppData\Roaming
    EmptyTemp:


    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
     
    3. Wyczyść Google Chrome:
    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
    • Ustaw Google Chrome jako domyślną przeglądarkę. 

    4. Użyj (najnowszej wersji) AdwCleaner (teraz powinno Ci się udać) uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

    5. Wygeneruj nowe raporty FRST (bez GMER).

    • ×
    ×
    • Dodaj nową pozycję...