Skocz do zawartości
Nadchodzące zmiany w logowaniu

Miszel03

Moderatorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    2 329

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Odpowiedzi opublikowane przez Miszel03

  2. ByteFence, Ask.com, Nie uruchamiająca się G Data

    w Dział pomocy doraźnej

    Opublikowano

    Nie ma się prawie tutaj czym zajmować. Brak czynnych infekcji adware / PUP. Do wykonania końcowe oczyszczanie i kosmetyka.
     
    Ask ciągle występuje w Firefoksie.
     
    Myślę, że ten problem zniknie po wykonaniu poniższych zaleceń. 
     
    1. Otwórz Notatnik w nim wklej:
     
    CloseProcesses:
    CreateRestorePoint:
    

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    

    S3 gdrv; \??\C:\Windows\gdrv.sys [X]
    

    Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku 
    C:\Users\ZUB2\Documents\Play - e-faktura do pobrania - 13.02.2015_pliki — skrót.lnk
    

    C:\Users\ZUB2\Desktop\aktualizacja gang.lnk
    

    C:\Users\ZUB2\Desktop\aktualizacja kaper.lnk
    

    C:\Users\ZUB2\Desktop\aktualizacja mag.lnk
    

    C:\Users\ZUB2\Desktop\m_pojazdow — skrót.lnk
    

    

    CMD: dir /a "C:\Program Files"
    

    CMD: dir /a "C:\Program Files (x86)"
    

    CMD: dir /a "C:\Program Files\Common Files\System"
    

    CMD: dir /a "C:\Program Files (x86)\Common Files\System"
    

    CMD: dir /a C:\ProgramData
    

    CMD: dir /a C:\Users\ZUB2\AppData\Local
    

    CMD: dir /a C:\Users\ZUB2\AppData\LocalLow
    

    CMD: dir /a C:\Users\ZUB2\AppData\Roaming
    

    

    EmptyTemp:

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
     
    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
     
    2. Wyczyść Google Chrome
    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
    3. Wyczyść Firefox
    • Odłącz synchronizację (o ile włączona): KLIK
    • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
    • Menu Historia > Wyczyść historię przeglądania
    4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.
     

  • Problem

    w Dział pomocy doraźnej

    Opublikowano

    Daj mi jeszcze trochę czasu na to, tymczasem wykonaj jeszcze to (ma to związek z infekcjami):

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
    C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk
    C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Gооglе Сhrоmе.lnk
    C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Intеrnеt Ехрlоrеr.lnk
    C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
    C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
    C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks
    EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


    Plik zapisz (jako kodowanie UTF-8) pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    2. Dostarcz plik Fixlog.txt

  • Podejrzenie wirusa - wariuje klawiatura i mysz.

    w Dział pomocy doraźnej

    Opublikowano

    W raportach brak oznak infekcji, w spoilerze działania poboczne (usunięcie adware, a bardziej tzw. "witaminek") oraz kosmetyka.

    1. Otwórz Notatnik w nim wklej:

    CloseProcesses:
    CreateRestorePoint:
GroupPolicy: Ograniczenia 
S3 Futuremark SystemInfo Service; "C:\Program Files (x86)\Futuremark\SystemInfo\FMSISvc.exe" [X]
    U3 idsvc; Brak ImagePath
    CustomCLSID: HKU\S-1-5-21-973633878-3127659-858757103-1000_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-639C2CE05BE6}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-973633878-3127659-858757103-1000_Classes\CLSID\{88E3EE16-52A4-60A8-9054-DDA3917CD5F4}\InprocServer32 -> Brak ścieżki do pliku
C:\Program Files (x86)\TweakBit
Task: {06076AEC-E529-4730-8BCA-B6C83968E378} - System32\Tasks\TweakBit\FixMyPC\Time for deal => C:\Program Files (x86)\TweakBit\FixMyPC\FixMyPC.exe Task: {12E32B3A-8767-4C7D-A332-C7D715FA4416} - \CCleanerSkipUAC -> Brak pliku Task: {183881EA-2891-46E0-9FFC-349A0D2FB0C5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {2785F933-349A-4CFD-8590-DD5A7E57B751} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {2BAC3C98-3B81-4C37-85A5-DE3109A4B7E5} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {42BF092C-6D18-4971-B1E6-1E3AE654BAF9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5DAEF95C-7657-4963-AC4D-32C936A499A3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {67C4A8E5-EC5D-4B76-A8B8-AD18A0BF8F8D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6D399B5B-FC52-4664-93D6-49A5B5370C58} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6D9F7192-A3E2-4EAC-A1AD-15BF7878BB0B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {89B51358-41D4-4088-BDAC-F35FC9E312DA} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B78C4628-E503-44A5-8AD2-52138040B743} - System32\Tasks\TweakBit\FixMyPC\Start FixMyPC оn logon => C:\Program Files (x86)\TweakBit\FixMyPC\FixMyPC.exe Task: {C2CAC981-D7A3-4F6D-96A2-6D0727FB6555} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D3A575B2-8508-4CC9-AADE-7AAF79C25E12} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D74B456F-931D-441B-A8B2-4260BEBC66F6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {E2991A99-2AB5-4326-88B6-13604A92F2C5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {EFA8E466-9A38-444E-B6E9-7DE2A1219661} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {FE211F19-EC15-4A0C-9BBB-4E0047E524D8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

    2. Nie musisz dostarczać raportu wynikowego (Fixlog.txt), no chyba, że zauważysz jakieś powikłania po wykonaniu skryptu.

     

  • Problem z zodiac-game.info

    w Dział pomocy doraźnej

    Opublikowano

    W systemie faktycznie umiejscowiło się ustrojstwo samoistnie uruchamiające strony, świadczą o tym poniższe wpisy.

     

    HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Run: [a] => explorer.exe hxxp://kb-ribaki.org

    Task: {96C8EDD4-4AAB-42DA-B57A-F46B0F7A15A9} - System32\Tasks\a => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v a /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org"

     

    Po za tym szkodliwe zmodyfikowane zostały polityki grup, plik Hosts, strona startowa w przeglądarce Opera oraz mapa domen w przeglądarce Internet Explorer. Zaczynamy.

     

    1. Otwórz Notatnik i wklej w nim:

     

    CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Run: [a] => explorer.exe hxxp://kb-ribaki.org 
HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  Brak pliku
ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  Brak pliku
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  Brak pliku
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  Brak pliku
GroupPolicy\User: Ograniczenia 
GroupPolicyUsers\S-1-5-21-3029930857-75846965-513736063-1004\User: Ograniczenia 
OPR StartupUrls:  "hxxp://www.viceice.com/"
S3 ALSysIO; \??\C:\Users\a\AppData\Local\Temp\ALSysIO64.sys [X]
U4 aspnet_state; Brak ImagePath
Task: {0E290C5A-E448-4B52-88D2-C0D6CC124D04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {190EE76C-8FD2-4ED3-9409-FA9CF48F1022} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Brak pliku 
Task: {25163D73-4287-496E-90DB-C889AED68EC6} - \{81E27DC7-FE6C-43C1-B00C-D6438B953CBE} -> Brak pliku 
Task: {3BB0A579-F9E0-4210-940C-EA198390F9A6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {4716494B-9F5F-404A-97AB-53DC5C45CE09} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {4C00A19B-E4F1-4D56-8DCF-0E47CA04F081} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {624F7E00-A058-4937-87B6-8387A89DE4CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {9014E7D0-6D5A-419F-8FCC-E7CFCA808A98} - \Safer-Networking\Spybot - Search and Destroy\Scan the system -> Brak pliku 
Task: {96C8EDD4-4AAB-42DA-B57A-F46B0F7A15A9} - System32\Tasks\a => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v a /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" 
Task: {9D7D9F7B-EDCD-4090-812D-C71191EE713E} - \{98CA4D20-FC4D-4B3B-8F85-2F12EACB9230} -> Brak pliku 
Task: {B5815E6D-0BB7-4C42-BAD8-A880475B6934} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {CB6BA3EF-32A0-4858-9671-3C45C3195E10} - \Safer-Networking\Spybot - Search and Destroy\Refresh immunization -> Brak pliku 
Task: {CC6AB63C-6A63-4B3C-9F18-B852972AC3AF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {DC82B4C0-854D-43B3-82BE-1D873E44AEC1} - System32\Tasks\Realtek HD Audio => C:\Users\a\AppData\Local\SniperV2\Realtek HD\rthdcpl.exe 
Task: {E3C491BE-030E-46EF-B1AA-2977622B3949} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {E7BEB8AA-E05B-48E5-9C89-238A40DC7CFD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {EC3DA0C2-10B2-42E5-BEAB-CD63D6D00E9D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {F7A31922-4D2D-494E-B566-4E7C81784E13} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Folder: C:\Users\a\AppData\Local\SniperV2\Realtek HD
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\a\AppData\Local
CMD: dir /a C:\Users\a\AppData\LocalLow
CMD: dir /a C:\Users\a\AppData\Roaming
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Hosts:
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

     

    3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

  • Nie udało się znaleźć adresu DNS serwera www.....

    w Sieci

    Opublikowano

    Masz2oo2

     

    Wejdź w Panel sterowania, następnie w Sieci I Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej (boczny panel) > Wybierasz swoją sieć > Z PPM wybierz Właściwość > Zaznacz Protokół internetowy w wersji 4 (TCP/IPv4) > Właściwości > Sekcja Użyj następujących adresów serwera DNS > W Preferowany adres serwera DNS wpisz 8.8.8.8, a w alternatywnym 8.8.4.4 (To są adresy Google) > Zapisz zmiany > Uruchom ponownie komputer > Sprawdź połączenie. 

  • Opera 41 problem

    w Software

    Opublikowano

    Proponuję przeinstalować Operę na czysto.

     

    1. W Operze wyeksportuj zakładki. Przez Panel sterowania odinstaluj obie zakreślone niżej pozycje.

     

    Opera Stable 40.0.2308.81 (HKLM-x32\...\Opera 40.0.2308.81) (Version: 40.0.2308.81 - Opera Software)
    Opera Stable 41.0.2353.69 (HKLM-x32\...\Opera 41.0.2353.69) (Version: 41.0.2353.69 - Opera Software)

     

    2. Skasuj ewentualnie resztki (wypisane po niżej) po Operze.

     

    C:\Program Files\Opera

    C:\Users\beata\AppData\Roaming\Opera

    C:\Users\beata\AppData\Local\Opera

     

    3. Zainstaluj najnowszą Operę, zaimportuj zakładki i napisz czy to coś dało. 

     

     

    W spoilerze sprawy poboczne, nie mające związku z problemem. 

     

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:

    CreateRestorePoint:
    

    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
    

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
    

    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    

    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    

    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
    

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
    

    

    S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.6.0.142\Definitions\SDSDefs\20161026.007\ENG64.SYS [X]
    

    S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.6.0.142\Definitions\SDSDefs\20161026.007\EX64.SYS [X]
    

    Task: {C1CCBE7A-901E-4E9F-9702-31151CA2E4C1} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
    

    DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
    

    DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
    

    DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
    

    

    
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    2. Dostarcz plik Fixlog.txt

  • Problem

    w Dział pomocy doraźnej

    Opublikowano

    1. Przez menu Start wejdź do folderu Narzędzia Administracyjne, a następnie z niego uruchom aplikację Usługi.

    2. Odnajdź usługę Kompozycje, jeśli jest wyłączona to z PPM wybierz Uruchom, a jeśli jest włączona to tak samo z PPM wybierz opcję Uruchom Ponownie. (Tryb automatyczny / ręczny

    3. Uruchom ponownie komputer.

     

    Napisz czy coś to pomogło. 

  • Problem

    w Dział pomocy doraźnej

    Opublikowano

    Dziwne AdwCleaner nie jest w stanie usunąć FLLogs, więc niestety (musisz na nowo pobrać narzędzie FRST, niepotrzebnie zlecałem pkt. 3 no, ale cóż...nie spodziewałem się odmowy AdwCleanera) spróbujemy to zrobić w FRST.

     

    1. Otwórz Notatnik w nim wklej:

     

    CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1844162989-3989572184-385285012-1000\...\Run: [FLlogs] => wscript.exe //B "C:\Users\Radek\AppData\Roaming\FLlogs.vbs"
Startup: C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FLlogs.vbs [2016-03-05] ()
2016-02-29 11:01 - 2016-03-05 08:22 - 0000000 _____ () C:\Users\Radek\AppData\Roaming\FLlogs.vbs
Reboot:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    2. Dostarcz Fixlog.txt

  • Problem

    w Dział pomocy doraźnej

    Opublikowano

    Raporty dostarczone, więc idziemy dalej.
     
    1. W AdwCleaner: znowu skanowanie, ale po nim kliknij Usuń (Clean) i jak poprzednio dostarcz raport z tego działania.
     
    2. Skasuj ręcznie plik C:\Users\Radek\AppData\Local\nsl2A16.tmp oraz folder C:\Users\Radek\AppData\Local\UCBrowser 
     

    3. Zaktualizuj ważne programy oraz usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK / KLIK
     

  • Problem

    w Dział pomocy doraźnej

    Opublikowano

    Najpierw sprawy infekcji. W systemie ślady adware / PUP (m.in UCBrowser), które przypuszczalnie założyły blokady typu Debugger na aplikacje RegWorks oraz RSIT. Akcja:
     
    1. Uruchom ewentualny deinstalator (pliki typu uninstall.exe) z folderu: C:\Program Files (x86)\UCBrowser
     
    2. Otwórz Notatnik w nim wklej:
     

    CloseProcesses:
    CreateRestorePoint:
    IFEO\RegWorks.exe: [Debugger] svchost.exe
    IFEO\RSITx64.exe: [Debugger] svchost.exe
    GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia S1 bzuamdgc; \??\C:\Windows\system32\drivers\bzuamdgc.sys [X]
    S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
    S3 MSICDSetup; \??\H:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\H:\NTIOLib_X64.sys [X]
    S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
    S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
    S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
    S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X]
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    2016-11-26 10:25 - 2016-11-26 10:56 - 00000292 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
    2016-11-26 10:25 - 2016-11-26 10:25 - 00002556 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
    2016-11-17 07:45 - 2016-10-14 10:13 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2016-11-13 17:08 - 2016-10-14 10:15 - 00003430 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
    2016-11-06 16:30 - 2016-11-06 16:30 - 07299584 _____ C:\Users\Radek\AppData\Roaming\agent.dat
    2016-11-06 16:30 - 2016-11-06 16:30 - 00018432 _____ C:\Users\Radek\AppData\Roaming\Main.dat
    2016-11-06 16:29 - 2016-11-06 16:29 - 00140288 _____ C:\Users\Radek\AppData\Roaming\Installer.dat
    Task: {4F53EC71-FF85-4089-B0A5-7F0D07CE83CE} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) Task: {9BC7D7A6-D070-45C3-83B5-5AB0E7ABFCCB} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe CMD: dir /a "C:\Program Files"
    CMD: dir /a "C:\Program Files (x86)"
    CMD: dir /a "C:\Program Files\Common Files\System"
    CMD: dir /a "C:\Program Files (x86)\Common Files\System"
    CMD: dir /a C:\ProgramData
    CMD: dir /a C:\Users\Radek\AppData\Local
    CMD: dir /a C:\Users\Radek\AppData\LocalLow
    CMD: dir /a C:\Users\Radek\AppData\Roaming
    EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


    Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

     

    3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

    4. Zrób nowy raport FRST z opcji Skanuj (Scan) razem z Addition i Shortcut. Dołącz też plik fixlog.txt.

  • proszę o szybką POMOC ?!

    w Windows 7

    Opublikowano

    Wydaje mi się że podmieniłem lub usunąłem jakieś pliki .dll w folderze system32 lub SysWow64

     

    Takich rzeczy nie powinno się robić ręcznie, w Twoim przypadku w ogóle się tego nie powinno robić. Po skanie SFC zobaczymy co się w związku z tym dzieję. 

     

    Priorytetowo będziemy zajmować się dezynfekcją systemu z adware (przypuszczalnie wiedziałeś o tym i próbowałeś się ratować się takimi programami jak YAC / SpyHunter), dopiero potem zajmiemy się problem, z którym tu się zgłosiłeś.

     

    1. Otwórz Notatnik wklej w nim:

     

    CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  Brak pliku
ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  Brak pliku
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  Brak pliku
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  Brak pliku
BootExecute: autocheck autochk * sh4native Sh4Removal
GroupPolicy: Ograniczenia - Chrome 
GroupPolicyScripts: Ograniczenia 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms}
HKU\S-1-5-21-773405090-3852603061-2223838452-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\S-1-5-21-773405090-3852603061-2223838452-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggUJF9ZUQhHRRgQJQpeTA0QEQUOIlpZAxRCRwcQcA4KAF0VEVQFIk0FA1oDB0VXfV5bFElXTwhgNUpMDlQUU2VRL1RXEg=="
S3 XLHHardware_1_0; \??\C:\Program Files (x86)\DLL Tool\XLHHardwarex64.sys [X]
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {329B6223-F175-47CC-9F80-D70C89E6B950} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe [2015-10-30] (WF) 
Task: {81179906-107E-4A7F-A9F1-5A64194C3C5E} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe [2015-10-30] (WF) 
Task: {F986C2F8-C6AA-41C7-8E8E-8B914D6C43B0} - System32\Tasks\SpyHunter4Startup => C:\Program Files\SpyHunter\SpyHunter4.exe
ShortcutWithArgument: C:\Users\xxxx\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
ShortcutWithArgument: C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
ShortcutWithArgument: C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450076426&z=1e81ff3acb25ffcd5911444g7zcw9e7e1m5qez2cdg&from=wpm07173&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK
AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B [540]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\xxxx\AppData\Local\Mozilla
C:\Users\xxxx\AppData\Roaming\Mozilla
C:\Users\xxxx\AppData\Roaming\Profiles
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\xxxx\AppData\Local
CMD: dir /a C:\Users\xxxx\AppData\LocalLow
CMD: dir /a C:\Users\xxxx\AppData\Roaming
EmptyTemp:

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    2. Przez panel sterowania odinstaluj (oczywiście w tym wypadku decyzja należny do Ciebie) wątpliwy, oskarżony o kradzież bazy danych MBAM program: YAC (Yet Another Cleaner!) 

     

    3. Wyczyść Google Chrome:

    • Zresetuj synchronizację (o ile włączona): KLIK.
    • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
    • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
    • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

    4. Zrób nowy raport FRST z opcji Skanuj (Scan) razem z Addition i Shortcut. Dołącz też plik fixlog.txt.

     

    5. Wydobądź wszystkie pliki tekstowe (raporty) z folderu C:\AdwCleaner i umieść je na jakimś hostingu, lub dodaj po kolei w załącznikach.

    • ×
    ×
    • Dodaj nową pozycję...