-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
Nie ma się prawie tutaj czym zajmować. Brak czynnych infekcji adware / PUP. Do wykonania końcowe oczyszczanie i kosmetyka.Ask ciągle występuje w Firefoksie.Myślę, że ten problem zniknie po wykonaniu poniższych zaleceń.1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =S3 gdrv; \??\C:\Windows\gdrv.sys [X]Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak plikuC:\Users\ZUB2\Documents\Play - e-faktura do pobrania - 13.02.2015_pliki — skrót.lnkC:\Users\ZUB2\Desktop\aktualizacja gang.lnkC:\Users\ZUB2\Desktop\aktualizacja kaper.lnkC:\Users\ZUB2\Desktop\aktualizacja mag.lnkC:\Users\ZUB2\Desktop\m_pojazdow — skrót.lnkCMD: dir /a "C:\Program Files"CMD: dir /a "C:\Program Files (x86)"CMD: dir /a "C:\Program Files\Common Files\System"CMD: dir /a "C:\Program Files (x86)\Common Files\System"CMD: dir /a C:\ProgramDataCMD: dir /a C:\Users\ZUB2\AppData\LocalCMD: dir /a C:\Users\ZUB2\AppData\LocalLowCMD: dir /a C:\Users\ZUB2\AppData\RoamingEmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Wyczyść Google Chrome:- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Wyczyść Firefox:- Odłącz synchronizację (o ile włączona): KLIK
- Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
- Menu Historia > Wyczyść historię przeglądania
4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt. -
Zamykam, gdyby problem wrócił proszę o wiadomość po przez prywatną wiadomość.
-
Raczej jest to mało prawdopodobne (mi np. raz klawiatura szalała jak opętana po niemiłym spotkaniu z wodą), mówię: nic tu nie wskazuję na takową ingerencję.
Skasuj jeszcze ręcznie te lokalizacje: (zapomniałem dać do usuwania)
C:\WINDOWS\System32\Tasks\TweakBit
C:\ProgramData\TweakBit
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TweakBit -
Daj mi jeszcze trochę czasu na to, tymczasem wykonaj jeszcze to (ma to związek z infekcjami):
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint:
C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk
C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Gооglе Сhrоmе.lnk
C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Intеrnеt Ехрlоrеr.lnk
C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks
EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz (jako kodowanie UTF-8) pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Dostarcz plik Fixlog.txt
-
-
Skoro wszystko działa jak należy to kończymy.
P.S:
Nortona nie wyłączałam.Mnie chodziło o to, abyś wyłączyła Nortona i zobaczyła czy podczas jego braku pracy problem występuje.
-
W raportach brak oznak infekcji, w spoilerze działania poboczne (usunięcie adware, a bardziej tzw. "witaminek") oraz kosmetyka.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint: GroupPolicy: Ograniczenia S3 Futuremark SystemInfo Service; "C:\Program Files (x86)\Futuremark\SystemInfo\FMSISvc.exe" [X]
U3 idsvc; Brak ImagePath
CustomCLSID: HKU\S-1-5-21-973633878-3127659-858757103-1000_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-639C2CE05BE6}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-973633878-3127659-858757103-1000_Classes\CLSID\{88E3EE16-52A4-60A8-9054-DDA3917CD5F4}\InprocServer32 -> Brak ścieżki do pliku C:\Program Files (x86)\TweakBit Task: {06076AEC-E529-4730-8BCA-B6C83968E378} - System32\Tasks\TweakBit\FixMyPC\Time for deal => C:\Program Files (x86)\TweakBit\FixMyPC\FixMyPC.exe Task: {12E32B3A-8767-4C7D-A332-C7D715FA4416} - \CCleanerSkipUAC -> Brak pliku Task: {183881EA-2891-46E0-9FFC-349A0D2FB0C5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {2785F933-349A-4CFD-8590-DD5A7E57B751} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {2BAC3C98-3B81-4C37-85A5-DE3109A4B7E5} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {42BF092C-6D18-4971-B1E6-1E3AE654BAF9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5DAEF95C-7657-4963-AC4D-32C936A499A3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {67C4A8E5-EC5D-4B76-A8B8-AD18A0BF8F8D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6D399B5B-FC52-4664-93D6-49A5B5370C58} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6D9F7192-A3E2-4EAC-A1AD-15BF7878BB0B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {89B51358-41D4-4088-BDAC-F35FC9E312DA} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B78C4628-E503-44A5-8AD2-52138040B743} - System32\Tasks\TweakBit\FixMyPC\Start FixMyPC оn logon => C:\Program Files (x86)\TweakBit\FixMyPC\FixMyPC.exe Task: {C2CAC981-D7A3-4F6D-96A2-6D0727FB6555} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D3A575B2-8508-4CC9-AADE-7AAF79C25E12} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D74B456F-931D-441B-A8B2-4260BEBC66F6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {E2991A99-2AB5-4326-88B6-13604A92F2C5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {EFA8E466-9A38-444E-B6E9-7DE2A1219661} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {FE211F19-EC15-4A0C-9BBB-4E0047E524D8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Nie musisz dostarczać raportu wynikowego (Fixlog.txt), no chyba, że zauważysz jakieś powikłania po wykonaniu skryptu. -
W systemie faktycznie umiejscowiło się ustrojstwo samoistnie uruchamiające strony, świadczą o tym poniższe wpisy.
HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Run: [a] => explorer.exe hxxp://kb-ribaki.org
Task: {96C8EDD4-4AAB-42DA-B57A-F46B0F7A15A9} - System32\Tasks\a => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v a /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org"
Po za tym szkodliwe zmodyfikowane zostały polityki grup, plik Hosts, strona startowa w przeglądarce Opera oraz mapa domen w przeglądarce Internet Explorer. Zaczynamy.
1. Otwórz Notatnik i wklej w nim:
CloseProcesses: CreateRestorePoint: Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Run: [a] => explorer.exe hxxp://kb-ribaki.org HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku GroupPolicy\User: Ograniczenia GroupPolicyUsers\S-1-5-21-3029930857-75846965-513736063-1004\User: Ograniczenia OPR StartupUrls: "hxxp://www.viceice.com/" S3 ALSysIO; \??\C:\Users\a\AppData\Local\Temp\ALSysIO64.sys [X] U4 aspnet_state; Brak ImagePath Task: {0E290C5A-E448-4B52-88D2-C0D6CC124D04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {190EE76C-8FD2-4ED3-9409-FA9CF48F1022} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Brak pliku Task: {25163D73-4287-496E-90DB-C889AED68EC6} - \{81E27DC7-FE6C-43C1-B00C-D6438B953CBE} -> Brak pliku Task: {3BB0A579-F9E0-4210-940C-EA198390F9A6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4716494B-9F5F-404A-97AB-53DC5C45CE09} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {4C00A19B-E4F1-4D56-8DCF-0E47CA04F081} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {624F7E00-A058-4937-87B6-8387A89DE4CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {9014E7D0-6D5A-419F-8FCC-E7CFCA808A98} - \Safer-Networking\Spybot - Search and Destroy\Scan the system -> Brak pliku Task: {96C8EDD4-4AAB-42DA-B57A-F46B0F7A15A9} - System32\Tasks\a => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v a /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Task: {9D7D9F7B-EDCD-4090-812D-C71191EE713E} - \{98CA4D20-FC4D-4B3B-8F85-2F12EACB9230} -> Brak pliku Task: {B5815E6D-0BB7-4C42-BAD8-A880475B6934} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {CB6BA3EF-32A0-4858-9671-3C45C3195E10} - \Safer-Networking\Spybot - Search and Destroy\Refresh immunization -> Brak pliku Task: {CC6AB63C-6A63-4B3C-9F18-B852972AC3AF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {DC82B4C0-854D-43B3-82BE-1D873E44AEC1} - System32\Tasks\Realtek HD Audio => C:\Users\a\AppData\Local\SniperV2\Realtek HD\rthdcpl.exe Task: {E3C491BE-030E-46EF-B1AA-2977622B3949} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {E7BEB8AA-E05B-48E5-9C89-238A40DC7CFD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {EC3DA0C2-10B2-42E5-BEAB-CD63D6D00E9D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F7A31922-4D2D-494E-B566-4E7C81784E13} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Folder: C:\Users\a\AppData\Local\SniperV2\Realtek HD CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\a\AppData\Local CMD: dir /a C:\Users\a\AppData\LocalLow CMD: dir /a C:\Users\a\AppData\Roaming DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Masz2oo2
Wejdź w Panel sterowania, następnie w Sieci I Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej (boczny panel) > Wybierasz swoją sieć > Z PPM wybierz Właściwość > Zaznacz Protokół internetowy w wersji 4 (TCP/IPv4) > Właściwości > Sekcja Użyj następujących adresów serwera DNS > W Preferowany adres serwera DNS wpisz 8.8.8.8, a w alternatywnym 8.8.4.4 (To są adresy Google) > Zapisz zmiany > Uruchom ponownie komputer > Sprawdź połączenie.
-
Sprawy poboczne wykonane pomyślnie. Sprawdziłem u siebie jak to wygląda i mi wszystko działa prawidłowo. Sprawdź jaki rezultat będzie po wyłączeniu Twojego oprogramowania zabezpieczającego, czyli Nortona.
-
Grimm uważaj na słowa i zachowaj kulturę.
Post Lennego zostanie wydzielony jako osobny temat.
Pozdrawiam.
-
Nie prowadzę tematu, ale Jessica pewnie powiedziała by Ci to samo co ja.
Spróbuj odinstalować program Booking.com z poziomu tryby awaryjnego.
-
Proponuję przeinstalować Operę na czysto.
1. W Operze wyeksportuj zakładki. Przez Panel sterowania odinstaluj obie zakreślone niżej pozycje.
Opera Stable 40.0.2308.81 (HKLM-x32\...\Opera 40.0.2308.81) (Version: 40.0.2308.81 - Opera Software)Opera Stable 41.0.2353.69 (HKLM-x32\...\Opera 41.0.2353.69) (Version: 41.0.2353.69 - Opera Software)2. Skasuj ewentualnie resztki (wypisane po niżej) po Operze.
C:\Program Files\Opera
C:\Users\beata\AppData\Roaming\Opera
C:\Users\beata\AppData\Local\Opera
3. Zainstaluj najnowszą Operę, zaimportuj zakładki i napisz czy to coś dało.
W spoilerze sprawy poboczne, nie mające związku z problemem.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: OgraniczeniaHKLM\Software\Microsoft\Internet Explorer\Main,Search Page =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.6.0.142\Definitions\SDSDefs\20161026.007\ENG64.SYS [X]S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.6.0.142\Definitions\SDSDefs\20161026.007\EX64.SYS [X]Task: {C1CCBE7A-901E-4E9F-9702-31151CA2E4C1} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak plikuEmptyTemp:DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\DomainsDeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\DomainsDeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\MainAdnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Dostarcz plik Fixlog.txt
-
Czy w innych przeglądarkach dzieję się tak samo?
Dostarcz raporty z narzędzia Farbar Recovery Scan Tool.
======
EDIT: Gdyby odsyłacz nie zadziałał to tu link:
http://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/#entry160527
-
1. Przez menu Start wejdź do folderu Narzędzia Administracyjne, a następnie z niego uruchom aplikację Usługi.
2. Odnajdź usługę Kompozycje, jeśli jest wyłączona to z PPM wybierz Uruchom, a jeśli jest włączona to tak samo z PPM wybierz opcję Uruchom Ponownie. (Tryb automatyczny / ręczny)
3. Uruchom ponownie komputer.
Napisz czy coś to pomogło.
-
-
Wygląda na to, że wszystko pomyślnie usunięte i wykonane. Muszę pomyśleć nad rozwiązaniem problemu z kompozycją Aero.
-
Dziwne AdwCleaner nie jest w stanie usunąć FLLogs, więc niestety (musisz na nowo pobrać narzędzie FRST, niepotrzebnie zlecałem pkt. 3 no, ale cóż...nie spodziewałem się odmowy AdwCleanera) spróbujemy to zrobić w FRST.
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1844162989-3989572184-385285012-1000\...\Run: [FLlogs] => wscript.exe //B "C:\Users\Radek\AppData\Roaming\FLlogs.vbs" Startup: C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FLlogs.vbs [2016-03-05] () 2016-02-29 11:01 - 2016-03-05 08:22 - 0000000 _____ () C:\Users\Radek\AppData\Roaming\FLlogs.vbs Reboot:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Dostarcz Fixlog.txt
-
Raporty dostarczone, więc idziemy dalej.
1. W AdwCleaner: znowu skanowanie, ale po nim kliknij Usuń (Clean) i jak poprzednio dostarcz raport z tego działania.
2. Skasuj ręcznie plik C:\Users\Radek\AppData\Local\nsl2A16.tmp oraz folder C:\Users\Radek\AppData\Local\UCBrowser
3. Zaktualizuj ważne programy oraz usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK / KLIK.
-
Aero dalej nie działa
Najpierw oczyścimy system, dopiero po tym zajmiemy się problemem z kompozycją Aero.
A gdzie raporty FRST? Zapoznaj się z pkt. 4 mojego przedniego posta.
-
i co mam zrobić z tym po wklejeniu? to jest fixlist?
Wszystko napisane jest pod skryptem.
uinstal jest ale chińskie krzaczki, próbowałem tam klikać ale wyskakiwało okno dla uprawnień dla setup.exe
Pomiń ten krok.
-
Najpierw sprawy infekcji. W systemie ślady adware / PUP (m.in UCBrowser), które przypuszczalnie założyły blokady typu Debugger na aplikacje RegWorks oraz RSIT. Akcja:
1. Uruchom ewentualny deinstalator (pliki typu uninstall.exe) z folderu: C:\Program Files (x86)\UCBrowser
2. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia S1 bzuamdgc; \??\C:\Windows\system32\drivers\bzuamdgc.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 MSICDSetup; \??\H:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\H:\NTIOLib_X64.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2016-11-26 10:25 - 2016-11-26 10:56 - 00000292 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
2016-11-26 10:25 - 2016-11-26 10:25 - 00002556 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2016-11-17 07:45 - 2016-10-14 10:13 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-11-13 17:08 - 2016-10-14 10:15 - 00003430 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2016-11-06 16:30 - 2016-11-06 16:30 - 07299584 _____ C:\Users\Radek\AppData\Roaming\agent.dat
2016-11-06 16:30 - 2016-11-06 16:30 - 00018432 _____ C:\Users\Radek\AppData\Roaming\Main.dat
2016-11-06 16:29 - 2016-11-06 16:29 - 00140288 _____ C:\Users\Radek\AppData\Roaming\Installer.dat
Task: {4F53EC71-FF85-4089-B0A5-7F0D07CE83CE} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) Task: {9BC7D7A6-D070-45C3-83B5-5AB0E7ABFCCB} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Radek\AppData\Local
CMD: dir /a C:\Users\Radek\AppData\LocalLow
CMD: dir /a C:\Users\Radek\AppData\Roaming
EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
4. Zrób nowy raport FRST z opcji Skanuj (Scan) razem z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Wydaje mi się że podmieniłem lub usunąłem jakieś pliki .dll w folderze system32 lub SysWow64
Takich rzeczy nie powinno się robić ręcznie, w Twoim przypadku w ogóle się tego nie powinno robić. Po skanie SFC zobaczymy co się w związku z tym dzieję.
Priorytetowo będziemy zajmować się dezynfekcją systemu z adware (przypuszczalnie wiedziałeś o tym i próbowałeś się ratować się takimi programami jak YAC / SpyHunter), dopiero potem zajmiemy się problem, z którym tu się zgłosiłeś.
1. Otwórz Notatnik wklej w nim:
CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku BootExecute: autocheck autochk * sh4native Sh4Removal GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms} HKU\S-1-5-21-773405090-3852603061-2223838452-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-773405090-3852603061-2223838452-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggUJF9ZUQhHRRgQJQpeTA0QEQUOIlpZAxRCRwcQcA4KAF0VEVQFIk0FA1oDB0VXfV5bFElXTwhgNUpMDlQUU2VRL1RXEg==" S3 XLHHardware_1_0; \??\C:\Program Files (x86)\DLL Tool\XLHHardwarex64.sys [X] C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat Task: {329B6223-F175-47CC-9F80-D70C89E6B950} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe [2015-10-30] (WF) Task: {81179906-107E-4A7F-A9F1-5A64194C3C5E} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe [2015-10-30] (WF) Task: {F986C2F8-C6AA-41C7-8E8E-8B914D6C43B0} - System32\Tasks\SpyHunter4Startup => C:\Program Files\SpyHunter\SpyHunter4.exe ShortcutWithArgument: C:\Users\xxxx\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450076426&z=1e81ff3acb25ffcd5911444g7zcw9e7e1m5qez2cdg&from=wpm07173&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B [540] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\xxxx\AppData\Local\Mozilla C:\Users\xxxx\AppData\Roaming\Mozilla C:\Users\xxxx\AppData\Roaming\Profiles Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\xxxx\AppData\Local CMD: dir /a C:\Users\xxxx\AppData\LocalLow CMD: dir /a C:\Users\xxxx\AppData\Roaming EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.2. Przez panel sterowania odinstaluj (oczywiście w tym wypadku decyzja należny do Ciebie) wątpliwy, oskarżony o kradzież bazy danych MBAM program: YAC (Yet Another Cleaner!)
3. Wyczyść Google Chrome:
- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Zrób nowy raport FRST z opcji Skanuj (Scan) razem z Addition i Shortcut. Dołącz też plik fixlog.txt.
5. Wydobądź wszystkie pliki tekstowe (raporty) z folderu C:\AdwCleaner i umieść je na jakimś hostingu, lub dodaj po kolei w załącznikach.
-
Dostarcz jeszcze log Shortcut.txt z narzędzia Farbar Recovery Scan Tool.
Problem
w Dział pomocy doraźnej
Opublikowano
OK. Nie mam pomysłu na naprawę tego.
Najlepiej zgłoś swój temat w temacie picasso - KLIK, ona pewnie będzie wiedziała co zrobić.