-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
Jaka akcja została podjęta dla plików znalezionych przez Malwarebytes? Kazałeś je usunąć czy przenieść do kwarantanny (tak jak prosiłem)?
Kolejna część walki z adware.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:IFEO\MRT.exe: [Debugger] C:\ProgramData\ficfi\Gubed.exe -Yrrehs RemoveDirectory: C:\ProgramData\ficfi RemoveDirectory: C:\ProgramData\cficf RemoveDirtectory: C:\Users\MAG\AppData\Roaming\ibfib RemoveDirtectory: C:\ProgramData\hadga
RemoveDirtectory: C:\ProgramData\hbeha
RemoveDirtectory: C:\ProgramData\hps
RemoveDirtectory: C:\ProgramData\jcfic
RemoveDirtectory: C:\ProgramData\jdgjc
RemoveDirtectory: C:\ProgramData\ttff R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [568320 2016-12-07] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5] S2 Convxxxx; "C:\Users\MAG\AppData\Roaming\ibfib\UvConverter.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X]C:\ProgramData\QQBrowserFirewallRules: [{28CE2551-AF7A-4A6B-8DF0-F97D17FA3F03}] => C:\ProgramData\Nosemay\Nosemay.exeFile: C:\WINDOWS\system32\Drivers\etc\hostsEmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. W FireFox: klawisz z flagą Windows + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > skasuj wszystkie widoczne profile i załóż nowy.3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy). -
Klucz wygląda w porządku.
Jak wygląda aktualna sytuacja z pracą systemu? Tak jak poprzednio?
-
Zrób nowy log FRST (bez Addition i Shortcut).
-
Raport wygląda w porządku, ale poproszę jeszcze o pełny skan klucza winmgmt.
Uruchom SystemLook i do okna wklej:
:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /sKliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.
-
Nie ma tutaj za dużo do robienia. W działaniach: kasacja śmieciowego rozszerzenia Fast Serach ze wszystkich przeglądarek (Google Chrome / FireFox / Opera), kasacja pustych wpisów, oraz podejrzanych aplikacji PublicHotspot / 52U64IUBLR (jeśli znasz te aplikacje i im ufasz to nie wykonuj niczego, tylko mnie o tym poinformuj).
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: ShellExecuteHooks: - {B9320EEE-AB3C-11E6-BA01-64006A5CFC23} - C:\Users\Andreas\AppData\Roaming\Jaberge\Ckesuge.dll Brak pliku [ ] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-21-3424310977-905981195-1643685065-1000\...\Run: [Z9IV33V8VG] => C:\Program Files\52U64IUBLR\52U64IUBL.exe [369664 2016-12-06] () HKU\S-1-5-21-3424310977-905981195-1643685065-1000\...\Run: [LQ5OZUDT43] => "C:\Program Files (x86)\PublicHotspot\NL2Q52MB0W.exe" C:\Program Files\52U64IUBLR C:\Program Files (x86)\PublicHotspot HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF Extension: (Fast search) - C:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\Profiles\6g9xw1bo.Domyślny użytkownik\Extensions\amcontextmenu@loucypher [2016-12-06] CHR Profile: C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-06] CHR Extension: (Fast search) - C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06] CHR Extension: (Fast search) - C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06] OPR Extension: (Fast search) - C:\Users\Andreas\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06] S2 0119751480613722mcinstcleanup; C:\Users\Andreas\AppData\Local\Temp\011975~1.EXE -cleanup -nolog [X] U0 aswVmm; Brak ImagePath ShortcutWithArgument: C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Cabinets\Set Redwires Folder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Install Head.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Curve Designer.lnk C:\Users\Andreas\Desktop\Play WarThunder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cyberfox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Engine 2\Engine 2.lnk C:\Users\Andreas\Desktop\PuL\Vuze.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XeroBank\Activate your Account.lnk EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikwoy).
2. Wyczyść Google Chrome:
- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
- Odłącz synchronizację (o ile włączona): KLIK
- Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
- Menu Historia > Wyczyść historię przeglądania
-
W raportach brak oznak infekcji. Jednak musimy rozszerzyć diagnostykę, bo poniższe wpisy sugerują uszkodzenie usługi winmgmt.
Sprawdź usługę "winmgmt" lub napraw WMI. Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI.
Wykonaj raport z narzędzia Farbar Service Scanner (FSS).
-
W raportach brak oznak aktywnej infekcji, widać tylko szczątki po innych infekcjach typu adware (czyli: szkodliwe zmodyfikowany plik Hosts oraz mapa domen w przeglądarce Internet Explorer). Mam jeszcze pytanie: czy jest Ci znany poniższy plik?
C:\Users\Paulina2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\czysc_temp.bat
1. Otwórz Notatnik w nim wklej:CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-528719921-3342016946-942049042-1004\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-528719921-3342016946-942049042-1004\Control Panel\Desktop\\SCRNSAVE.EXE ->
C:\Users\Paulina2\Desktop\filmora_setup_full846.exe.lnk
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Hosts: EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).2. Nie musisz dostarczać nowych logów, ani raportu wynikowego. -
Ten raport jest ze skanowania, a nie ze usuwania. Raport z usuwania oznaczony jest literką C, a nie S. Wygląda to już lepiej, niedługo będziemy kończyć.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
C:\ProgramData\fibfi
C:\ProgramData\ficfi
C:\ProgramData\hadga
C:\ProgramData\hbeha
C:\ProgramData\hps
C:\ProgramData\icfib
C:\ProgramData\jcfic
C:\ProgramData\jdgjc
C:\ProgramData\ttff
AppInit_DLLs: , => Brak pliku
FF ProfilePath: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default [2016-12-06]
FF user.js: detected! => C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\user.js [2016-10-17]
FF NewTab: Firefox\Firefox\Profiles\2263ujb8.default -> hxxp://www.nicesearches.com?type=hp&ts=1464610878&from=0d580530&uid=toshibaxmq01abd075_y34tpqedtxxy34tpqedt&z=9b32b6762b14a45560bc07cg8z9q5zcqag6e0b9m9z
FF Homepage: Firefox\Firefox\Profiles\2263ujb8.default -> hxxp://www.searchinme.com/?type=hp&ts=1476877970752&z=050cfae7b4fa518f0cb8fc9g2z9b7eft0c3c3q0m3q&from=official&uid=TOSHIBAXMQ01ABD075_Y34TPQEDTXXY34TPQEDT
FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\nice.xml [2016-10-17]
FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\nuesearch.xml [2016-09-14]
FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\searchinme.xml [2016-10-19]
2016-12-06 19:48 - 2016-12-06 19:48 - 00000000 ____D C:\Users\MAG\AppData\Local\Coldjob
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
Hosts:
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Użyj >> Malwarebytes
Po uruchomieniu:- Postępuj zgodnie z kreatorem instalacyjnym, przy instalacji odznacz okres testowy.
- Po instalacji uruchom ponownie komputer.
- Interfejs MalwareBytes > Skanowanie > Pełne Skanowanie systemu > Podczas skanowania nic nie rób, po prostu czekaj.
- Po zakończeniu skanu, jeżeli program coś wykryje to wszystkie zagrożenia przeniesiesz do kwaranntany Po tym będzie wymagane ponowne uruchomienie komputera, zaraz po tym wyskoczy raport ze skanowania, który zaprezentujesz na forum.
3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).
-
Tak jak podejrzewam po oznakach w raportach, ten wariant szkodnika (Ransomware Locky) nie jest do końca poznaną infekcją, - deszyfracja pików jest na tą chwilę nie wykonalna (i w przyszłości też raczej marne szanse na to, powodem jest bardzo silny szyfrator AES). Jeśli nie miałeś kopii zapasowej tych danych to one przepadły - dlatego tak ważne jest ich tworzenie.
Z góry informuję, że zalecane jest wykonanie kompleksowe reinstalacji systemu (nie znamy dokładnie wszystkich możliwość wariantu). Jeśli jednak zdecydujesz się leczyć / czyścić system to dostarcz nowe raporty systemowe FRST.
-
W raportach brak oznak infekcji.
Możesz już usunąć narzędzia diagnostyczno / dezynfekcyjne - KLIK. -
-
Jest już w porządku z wyjątkiem tego (czyli śmieciowej wyszukiwarki):
CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=100842&mntrId=56b550450000000000006c626dc62f32
Można by się bawić w odczytywanie preferencji itd. ale zdecydowanie szybciej będzie Ci na czysto przeinstalować przeglądarkę Google Chrome.
- Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
- Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
- Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
- Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
-
Skasuj folder C:\AdwCleaner po czym na nowo pobierz i uruchom AdwCleaner'a.
-
1. Uruchom AdwCleaner kliknij skanuj, a następnie oczyść (wyniki zweryfikowane, nadają się do usunięcia). Jak poprzednio dostarcz raport z tego działania.
2. Zrób nowy log FRST z opcji Skanuj (Scan), razem z Addition i Shortcut.
-
5. ostatniego pliku nie moge odszukać ani nawet folderu E:\System Volume Information
On jest na dysku E:\ ale możemy to pominąć bo to folder przywracania, który i tak będziemy czyścić.
Pozostałe pliki skasuj ręcznie.
a drobniutkie, nieszkodliwe pliki wykryte przez AdwCleaner'a skasuj tzn. uruchom ponownie skanowanie, a potem czyszczenie - dostarcz raport z tego działania.Gdzie ten raport?
Napisz jak oceniasz obecną sytuacje.
-
Brak raportu z przeprowadzenia dezynfekcji przez AdwCleaner'a - dostarcz go. W systemie / raportach jak już wcześniej wspominałem widoczne liczne adware (m.in SearchesToYesbnd, Nosemay, nicesearches, nuesearch). Przypuszczalnie nie działa Ci również kompozycja Aero, jest to wynik infekcji. Od razu przechodzimy do działań bardziej ręcznych, ale i tak wrócę jeszcze do czyszczenia automatami.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adva3d10] => C:\Users\MAG\AppData\Roaming\cdptcli\aeevispl.exe [524288 2015-12-04] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advavel9] => C:\Users\MAG\AppData\Roaming\cemaider\aeevispl.exe [524288 2016-01-12] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advp10_1] => C:\Users\MAG\AppData\Roaming\certtenc\amsiices.exe [524288 2016-02-05] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsncapi] => C:\Users\MAG\AppData\Roaming\capicca\advaecsp.exe [524288 2016-02-08] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsn3d32] => C:\Users\MAG\AppData\Roaming\catsosys\advaeter.exe [524288 2016-03-03] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnGSM7] => C:\Users\MAG\AppData\Roaming\catsosys\advaeter.exe [524288 2016-03-03] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnSCII] => C:\Users\MAG\AppData\Roaming\catsmapi\advabcd.exe [524288 2016-03-09] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnd3d9] => C:\Users\MAG\AppData\Roaming\Certwmdm\advaperf.exe [524288 2016-04-14] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advp0_43] => C:\Users\MAG\AppData\Roaming\cfgmdiag\amsikbox.exe [524288 2016-05-10] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpfCdp] => C:\Users\MAG\AppData\Roaming\ChakgIME\amsiTVID.exe [524288 2016-06-14] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpclen] => C:\Users\MAG\AppData\Roaming\charclb\amsianui.exe [524288 2016-07-12] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpider] => C:\Users\MAG\AppData\Roaming\charis-2\amsianui.exe [524288 2016-07-15] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [aeevtlib] => C:\Users\MAG\AppData\Roaming\clbonfg\amstview.exe [524288 2016-09-20] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [amsilder] => C:\Users\MAG\AppData\Roaming\cmluutil\apdsrvps.exe [524288 2016-09-24] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsntnet] => C:\Users\MAG\AppData\Roaming\cabitons\advaavrt.exe [524288 2016-10-17] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advad3d9] => C:\Users\MAG\AppData\Roaming\catsosys\advprypt.exe [524288 2016-11-08] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adva8thk] => C:\Users\MAG\AppData\Roaming\catsosys\advprypt.exe [524288 2016-11-08] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advadxof] => C:\Users\MAG\AppData\Roaming\cdprtcli\aeevProv.exe [524288 2016-11-09] ()HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advaider] => C:\Users\MAG\AppData\Roaming\certtmgr\aeevwcli.exe [524288 2016-12-06] ()C:\Users\MAG\AppData\Roaming\cdptcliC:\Users\MAG\AppData\Roaming\cemaiderC:\Users\MAG\AppData\Roaming\certtencC:\Users\MAG\AppData\Roaming\capiccaC:\Users\MAG\AppData\Roaming\catsosysC:\Users\MAG\AppData\Roaming\catsmapiC:\Users\MAG\AppData\Roaming\CertwmdmC:\Users\MAG\AppData\Roaming\cfgmdiagC:\Users\MAG\AppData\Roaming\ChakgIME\amsiTVID.exeC:\Users\MAG\AppData\Roaming\charclb\amsianui.exeC:\Users\MAG\AppData\Roaming\charis-2\amsianui.exeC:\Users\MAG\AppData\Roaming\clbonfg\amstview.exeC:\Users\MAG\AppData\Roaming\cmluutil\apdsrvps.exeC:\Users\MAG\AppData\Roaming\cabitons\advaavrt.exeC:\Users\MAG\AppData\Roaming\cdprtcli\aeevProv.exeC:\Users\MAG\AppData\Roaming\certtmgr\aeevwcli.exe
AppInit_DLLs: ,C:\WINDOWS\system32\nvinitx.dll => Brak pliku
IFEO\MRT.exe: [Debugger] C:\Program Files (x86)\SearchesToYesbnd\_ALLOWDEL_27bfc\Gubed.exe -Yrrehs
C:\Program Files (x86)\SearchesToYesbnd
GroupPolicy: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-2999985383-601964839-3280780558-1002\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> {FA9EC097-C43E-4767-866A-E31FA5272B20} URL =
Edge HomeButtonPage: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> hxxp://www.nuesearch.com/?type=hp&ts=1465910606&z=37c7bcedfe0fcd79fcd0425g1zfq5w1t1g7e5q4e5z&from=wpm0614&uid=TOSHIBAXMQ01ABD075_Y34TPQEDTXXY34TPQEDT
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\2263ujb8.default -> luck
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\2263ujb8.default -> luck
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\2263ujb8.default -> luck
FF DefaultSearchEngine: Firefox\Firefox\Profiles\2263ujb8.default -> nice
FF SearchEngineOrder.1: Firefox\Firefox\Profiles\2263ujb8.default -> nice
FF SelectedSearchEngine: Firefox\Firefox\Profiles\2263ujb8.default -> nice
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [622080 2016-11-29] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5]S2 NosemayP; C:\ProgramData\Nosemay\Nosemay.exe [400264 2016-05-30] ()
S2 NosemayU; "C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe" [X]
C:\Program Files (x86)\Nosemay
C:\ProgramData\Nosemay
Task: {1F357729-9984-4DAB-87F8-E84F39AF8EE7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {3DD526DA-F673-45CE-9002-14D1BC99DBD4} - System32\Tasks\NosemayUpdateTaskMachineCore => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {4E26A63E-55E5-48A4-9E07-B46D50710A89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {4E77BBE4-2C07-47A4-B58F-2A23B9C6D037} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {52A92279-2FDA-4755-AAE5-DC6FE44B503B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {7617830F-3E2E-4E14-BC84-8D8F0FDDD5BD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7E519C3A-0D56-4C31-9AE4-5B2FBBD9429D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {85097416-4841-491B-B87F-ABC07F723D5B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8BDB08BD-4D81-4A04-9149-8E9C34024CA0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A1314326-5C03-448B-B853-3FA02E67EE70} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {B1AD7971-CD5B-4CA2-AD61-92C25DD1FE39} - System32\Tasks\NosemayUpdateTaskMachineUA => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {D03E6501-354B-426D-9A6E-FAE0898D99BC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D60BA628-7A6A-4E69-AB00-993837E0D6EB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Coldjob\Application\chrome.exe (Google Inc.)
C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Coldjob\Application\chrome.exe (Google Inc.)
C:\Program Files (x86)\Coldjob
C:\Users\MAG\AppData\Local\Coldjob
C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\MAG\AppData\Local
CMD: dir /a C:\Users\MAG\AppData\LocalLow
CMD: dir /a C:\Users\MAG\AppData\Roaming
Hosts:
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).
2. Wyczyść Google Chrome:- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane Ci rozszerzenia.
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Wyczyść FireFox:
- Odłącz synchronizację (o ile włączona): KLIK
- Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
- Menu Historia > Wyczyść historię przeglądania
4. Użyj >> Junkware Removal Tool
Po uruchomieniu:- Postępuj zgodnie z instrukcją wyświetlaną w programie.
- Gdy skanowanie oraz usuwanie zakończy się, uruchomi się plik z raportem.
- Raport wkleisz na wklej.org lub załączysz jako załącznik na forum.
5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).
-
Wygląda, że jest wszystko w porządku. Ask'a nie widzę, G Data też śmiga.
OK.
Error: (12/01/2016 02:56:42 PM) (Source: Ntfs) (EventID: 55) (User: )
Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku.
Uruchom narzędzie chkdsk na woluminie System.
Error: (12/01/2016 02:12:11 PM) (Source: Disk) (EventID: 11) (User: )
Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1.
Te wyniki należny zweryfikować - załóż temat w dziale Hardware.
-
W raport widoczna sporo ilość infekcji adware / PUP, od razu przechodzimy do działań.
1. Przez panel sterowania odinstaluj:- Reimage Repair
- WarThunder
2. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
Task: {53484938-98A7-4F6D-8297-DD7BE6D2EC86} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe Task: {69F2799D-9EF1-4305-B274-38AC178ABEDA} - System32\Tasks\InternetBE => Chrome.exe hxxp://inform-world.ru/watch
Task: {DED54E52-A35B-4FA2-B976-1F272BF59D20} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe ShortcutWithArgument: C:\Users\Dejw\Desktop\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900
ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900
ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811035"
ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900
HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\ppt\Uninst.exe
HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818411
HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
SearchScopes: HKU\S-1-5-21-2448206972-1435992067-1411047560-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B54547D9B-B600-49ED-8338-D87141E91296%7D&gp=811041
SearchScopes: HKU\S-1-5-21-2448206972-1435992067-1411047560-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B54547D9B-B600-49ED-8338-D87141E91296%7D&gp=811041
BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Dejw\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-12-04] (Mail.Ru)
C:\Program Files (x86)\YTDownloader
C:\Program Files (x86)\ppt
CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=100842&mntrId=56b550450000000000006c626dc62f32
U0 aswVmm; Brak ImagePath
2016-12-04 17:52 - 2016-12-05 20:54 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2016-12-04 17:49 - 2016-12-05 20:54 - 00000000 ____D C:\Users\Dejw\AppData\Local\Mail.Ru
2016-12-04 17:49 - 2016-12-04 18:52 - 00000000 ____D C:\ProgramData\Mail.Ru
C:\Users\Dejw\Desktop\Internet Download Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack\Uninstall.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Dejw\AppData\Local\Mozilla
C:\Users\Dejw\AppData\Roaming\Mozilla
C:\Users\Dejw\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\Programdata\Mozilla
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Dejw\AppData\Local
CMD: dir /a C:\Users\Dejw\AppData\LocalLow
CMD: dir /a C:\Users\Dejw\AppData\Roaming
Hosts:
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).
2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
3. Zrób nowy log FRST z opcji Skanuj (Scan), razem z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy). -
Programy pomyślnie odinstalowane, wyniki AdwCleaner zweryfikowane, wieć możesz przejść do akcji dezynfekcji w tym programie.
1. Uruchom AdwCleaner kliknij Skanuj, a następnie Oczyść, podobnie jak poprzedni dostarcz raport z tego działania.
2. Wygeneruj nowe raporty FRST (bez GMER).
-
W raportach brak oznak infekcji, podobny temat na forum: KLIK.
Na wszelki wypadek: przeskanuj system swoim oprogramowaniem antywirusowym ESET oraz Malwarebytes AniMalware (oba programy masz na dysku). Wszystkie ewentualne znalezione przez nie nagrożenia poddaj kwarantannie i dostarcz raport z tych skanować (o ile coś zostanie wykryte).
-
-
Na razie nie podaję żadnych innych działań prócz deinstalacji produktów adware i skanowania systemu pod ich kątem. W systemie jest ogromne wysypisko śmieci, więc do pewnego momentu będę posługiwać się automatami.
1. Przez panel sterowania odinstaluj:- amuleC
- amuleC
- aMuleCustom
- WinZip
- YAC(Yet Another Cleaner!)
- Uncheckit
- qksee
2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.
3. Wygeneruj nowe raporty FRST (bez GMER).
-
Radzę dobrze, żeby zacząć myśleć nad przeprowadzką z XP (on już nie ma wsparcia Microsoft) na co najmniej Windows 7. Powódem jest oczywiście dużo zagrożenia infekcja (dużo nie łapanych luk itd)
Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. W zasadzie to nie pamiętam żadnego przypadku, by komunikat tarczy zgadzał się z tym co mówią raporty. Skan ten jest też bardzo limitowany, ocena na podstawie IP, nie jest skanowany system delikwenta.
W skrypcie kosmetyka: kasacja pustych wpisów rejestru, CLSID oraz modyfikacji polityk grup. Ogólnie: brak jawnej infekcji, wyniki Malwarebytes wymagają dodatkowej weryfikacji poprzez usługę VirusTotal, a drobniutkie, nieszkodliwe pliki wykryte przez AdwCleaner'a skasuj tzn. uruchom ponownie skanowanie, a potem czyszczenie - dostarcz raport z tego działania.
1. Przez panel sterowania odinstaluj: Brave Dwarves 2 GOLD v1.15 (podaję jako działanie ewentualne, w FRST mam flagowanie żeby zwrócić na to uwagę, ale z tego co się orientuje to jakaś gra. Prawda?)
2. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia ? SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{E7A37920-253C-4FF1-B169-298A7CE6CAA9}\localserver32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\Dropbox.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE1-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE2-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FBC9D74C-AF55-4309-9FB2-C426E071637F}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1940DBE8 [370]
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Nie musisz dostarczać nowych logów, ani raportu wynikowego.
3. Sprawdź poniższe pliki w usłudze VirusTotal.com (Uploudujesz plik > Klik w Przeskanuj > Po zakończonej analizie kopiujesz link z pasku adresów URL i dostarczasz go mi w następnym poście. Procedurę powtarzasz w przypadku każdego pliku (razem mają być cztery linki).C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\10000001b00002i\msiexec.exe
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\1000000b00002i\verclsid.exe
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000008c00002i\offlb.exe
E:\System Volume Information\_restore{41CD2F82-42C1-45B0-805E-D00B54D60369}\RP214\A0096337.exe -
W raportach brak oznak infekcji, nie ma śladu po wyszukiwarce Yahoo.
1. Przez Panel sterownia odinstaluj: McAfee Security Scan Plus (nabyte przypuszczalnie jako sponsor pobierania, zresztą nie potrzebujesz go choćby dlatego, że i tak Twoim oprogramowaniem zabezpieczającym jest McAfee Internet Security), Akamai NetSession Interface (zbędnik).
W skrypcie: kasacji pustych skrótów oraz CLSID.
2. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-647964530-2040888843-2415202527-1001\...\Policies\Explorer: []
CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak plikuCustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak plikuCustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak plikuCustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\pl-PL\acadficn.dll => Brak plikuC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chaos Group\V-Ray for SketchUp demo\Documentation\V-Ray for SketchUp Online Documentation.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rhinoceros 5\Rhinoceros 5.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rhinoceros 5\Rhinoceros 5 in Safe Mode.lnkEmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).3. Przeszukamy cały system (w raportach nie widzę wszystkiego) pod względem elementów plikowych Yahoo.Uruchom FRST i w polu Search (Szukaj) wklej:yahoo*.*
Następnie kliknij Serach Files (Szukaj plików).Oprócz wyszukiwania plików sprawdzimy również Rejestr.Uruchom FRST i w polu Search (Szukaj) wklej:yahoo
Następnie kliknij Serach Registry (Szukaj w rejestrze).Raporty z obu wyszukiwań znajdują się w folderze, z którego był uruchamiany FRST (w Twoim przypadku na pulpicie więc, raport znajdziesz właśnie tam).4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt (raport wynikowy).
Długo niesprawdzany komputer, proszę o rutynową kontrolę.
w Dział pomocy doraźnej
Opublikowano
OK.