picasso

Uruchomiłeś ponownie stary Fixlog z poprzedniej rundy, a nie nowy. Zapisz ponownie plik z danymi z mojego ostatniego posta i wykonaj. I skoro były zmiany w oprogramowaniu, to na wszelki wypadek zrób nowe raporty FRST (FRST.txt + Addition.txt). PS. Dziś znalazłam drugi temat i go tu dokleiłam. Czy poniższy problem nadal aktualny?

Wielkie dzięki za dotację. Temat rozwiązany. Zamykam.

O ile problem nadal aktualny, rozpocznij od poprawnej deinstalacji adware/PUP, doczyszczanie zostanie przeprowadzone w drugim etapie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: do-search uninstall, McAfee Security Scan Plus, mystartsearch, qksee, REACHit, Strong Signal, WarThunder, WinZip (to fałszywa kopia a nie WinZip marki Corel). Jeśli któraś pozycja będzie niewidoczna lub zwróci błąd deinstalacji, kontynuuj. 2. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi.

O ile problem nadal aktualny: Na dysku widać pliki "Asystenta pobierania" dobrychprogramów, a nie instalatory właściwe. Czym grozi pobieranie z tego serwisu: KLIK. Prawdopodobnie PriceFountain zostało właśnie nabyte z "Asystenta" dobrychprogramów. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4DA9E859-EB4F-4B12-B0A0-75903EAA81FC} - System32\Tasks\wwwFrenzyingReluctantlyV2 => Rundll32.exe ProcuringCooperators.dll,main 7 1 CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ljibkigjccbegnbeojkoafejpoiachej] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1093597737-154638444-1121763440-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1093597737-154638444-1121763440-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> FirewallRules: [{193E347A-284F-4458-9324-04C3019D4CAF}] => (Allow) C:\Program Files (x86)\GlassWire\GWCtlSrv.exe FirewallRules: [{9A947D63-73A4-4D79-91B3-E1E1096D155A}] => (Allow) C:\Program Files (x86)\GlassWire\GWCtlSrv.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GlassWire DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_27DB4C2F86F0ABF2C4415F947F94FFA3 RemoveDirectory: C:\ProgramData\GlassWire RemoveDirectory: C:\Users\www\AppData\Local\FrenzyingReluctantly RemoveDirectory: C:\Users\www\AppData\Local\GlassWire C:\Users\Public\Desktop\My Software Deals.url C:\Users\www\AppData\Roaming\Setup32217.exe C:\Users\www\Downloads\*-dp* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj BestY NewTab, o ile nadal będzie widoczny po w/w operacji. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Fix wykonany. Znajome końcowe czynności, czyli DelFix i czyszczenie folderów Przywracania systemu: KLIK. Temat zamykam.

Czyszczenie lokalizacji tymczasowych już tu było prowadzone (komenda EmptyTemp: w skrypcie FRST). Windows ma zainstalowany SP1 i IE11. W pierwszym raporcie Addition była owszem ciut starsza wersja Adobe Reader i Java, ale to stan sprzed miesiąca - jeśli nadal są te same wersje, to oczywiście możesz je zaktualizować. DelFix przeprowadził operacje. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. Temat infekcji rozwiązany. Zamykam. Gdyby coś się działo, poproś na PW o otworzenie.

Jaki plik / skąd pobierany? Czy pliki z innych serwerów też pobierają się bardzo powoli? "Połączenia IPv6: Brak dostępu do sieci" to standardowy odczyt, jeśli jest używane IPv4 dla danego połączenia. U mnie jest taki sam stan i nie ma to żadnego wpływu na szybkość pobierania danych.

Czy nadal występuje u Ciebie tytułowy komunikat? Natomiast Fix FRST w większości pomyślnie wykonany. Jeden wpis adware w Google Chrome nie został przetworzony. Pod tym kątem: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres trovi.com.

DelFix zgłupiał nieco i skasował jeden plik omyłkowo, czyli ten skrót z Pulpitu: Shortcut: G:\Documents and Settings\All Users\Pulpit\MKV File Player.lnk -> G:\Program Files\MKV File Player\MKVFilePlayer.exe () Ale szkody żadne, po prostu skrót ręcznie odtworzysz. Skasuj z dysku plik raportu G:\delfix.txt. To wszystko.

Tematy łączę razem. Tcpip\Parameters: [DhcpNameServer] 91.205.74.25 8.8.8.8 Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [DhcpNameServer] 91.205.74.25 8.8.8.8 Niewiele już chyba mogę tu poradzić, skoro aktualizacja firmware i konfiguracja wg wytycznych są mało skuteczne. Jako ostatni krok zresetuj router do ustawień fabrycznych posługując się przyciskiem na obudowie. Po resecie wejdź do konfiguracji i zmień hasło na inne niż poprzednio używane, upewnij się też że dostęp od strony internetu jest zamknięty. Jeśli pomimo tych działań nadal router będzie przejmowany przez infekcję, zostaje bezpośredni kontakt z producentem sprzętu i/lub wymiana routera na bezpieczniejszy model.

Potwierdzam wykonanie zadań. 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku foldery C:\MATS + F:\Pobrane\FRST. 2. Następnie uruchom DelFix, na koniec zaś wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Zrobione. Kończymy: Skorzystaj z narzędzia DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. Tam też linkowane najnowsze wersje produktów Adobe.

Wszystko pomyślnie przetworzone i w raportach nie widać już żadnych oznak infekcji adware. Na wszelki wypadek jeszcze: 1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > czy usunąłeś tę trefną wyszukiwarkę search.so-v.com? 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Teraz dopiero zauważyłam. Ostatni błąd jest wynikiem tego, że komenda pracowała na nieistniejącym folderze. Te komendy są robione na złym dysku, czyli C - foldery FOUND są na G. Czyli do wpisania: icacls G:\found.000/grantKorvin:F/T icacls G:\found.001/grantKorvin:F/T

Proszę nie podpinać się pod cudze wątki i nie mnożyć takich samych postów. Wydzielone w osobny temat, a duplikat usunięty. O ile problem nadal aktualny: Błąd jest omówiony w tym artykule: KLIK.

Skoro wysyłasz link, to jest odpowiedź dlaczego pojawia się ten komunikat. Wg opisu ten mechanizm może generować też fałszywe alarmy i pojawiać się dla bezpiecznych URL.

KarolK30 błędnie wpisujesz komendy, niekompletny cudzysłów plus brakuje spacji między ścieżką dostępu a parametrem /grant: icacls c:\found.000/grantKorvin:F/T

Mechanizm captcha jest generowany przez Facebooka: KLIK. Podczas jakich akcji on się pojawia, tzn. czy wysyłasz jakąś konkretną treść z linkiem URL? Ostatni Fix FRST pomyślnie wykonany. Na koniec poczęstuj się DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Gładko poszło. Na zakończenie skorzystaj z DelFix oraz wyczyść fokdery Przywracania systemu: KLIK. Dosłownie tak jak je widać, przeglądam linia po linii. Nie ma żadnych automatów analitycznych. Zdolność analizy raportu FRST jest bezpośrednią konsekwencją dobrej znajomości budowy Windows i przeglądarek. Notabene, detekcja polityk Google Chrome została opracowana przeze mnie, autor ją po prostu dodał do FRST na podstawie mojego opisu.

Problemem są polityki Google Chrome wstawione przez adware. Do wykonania następujące operacje: 1. Odinstaluj odpadek Mozilla Maintenance Service - Firefox został tu już odinstalowany i nie ma innych produktów Mozilla. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {12E9F500-8F6B-483A-8EB0-E8B0B55F594F} - System32\Tasks\{AD2A12DB-3CD1-43D4-9987-2EAEB8DDE134} => Chrome.exe hxxp://ui.skype.com/ui/0/6.21.60.104/pl/eula Task: {22B61B35-36AD-459D-AA5E-7E759DBCAA11} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {34AD9860-A13F-4A26-8F13-A99840A12B08} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {35F8E795-7347-4F29-B2C5-5A8B3C80DCFA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {36983EC0-2ACA-4052-8B57-92FA677966A8} - System32\Tasks\{5BC5E37A-3939-4946-A15C-214BC380304C} => Chrome.exe hxxp://ui.skype.com/ui/0/6.21.60.104/pl/eula Task: {6B1AC271-78E3-4137-B731-E7AAC803AC85} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {6DB57ECE-3A1C-4960-8929-66F9CDC8B620} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {7D74D90E-4C8D-4EAA-A5C6-5BF31FA33E7F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {839C6A78-5903-4400-B8B4-BBC4A2EFFD29} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {94BE8339-1DE7-42EE-BCF4-1877582A4A6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {A1A927BE-C3C4-4134-94A1-824797F1C3FA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {BA9B0CD2-A55F-4ACF-9E9D-9F5BA33E6B03} - System32\Tasks\{FDB07207-3538-4E6D-B26A-6FF1FEC58F97} => Chrome.exe hxxp://ui.skype.com/ui/0/6.21.60.104/pl/eula Task: {E31112F3-C41C-44A7-B9F3-0FC80D1F84AB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F7A79902-355C-48F6-8528-16FDF82E14CB} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku HKLM-x32\...\Run: [LManager] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1359127692-1463339172-2411425835-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-1359127692-1463339172-2411425835-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie SearchScopes: HKU\S-1-5-21-1359127692-1463339172-2411425835-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear StartMenuInternet: IEXPLORE.EXE - iexplore.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\Franciszek\Downloads\*.crdownload C:\Users\Franciszek\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\start_menu_selector_windows_8_by_mbossg-d4a8i99.lnk C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Windows 8 Menu.lnk C:\Users\Franciszek\Pictures\Meble\Schlossburg*.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Franciszek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Franciszek\AppData\Roaming\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy to fałszywe Google, o ile nadal będzie się wyświetlać. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Niektóre antywirusy, w tym AVG, będą wykrywać i blokować FRST. Fix FRST ukończony w drugim podejściu. Czyli kroki końcowe: Usuń FRST i jego logi z folderu "Fixitpc" na Pulpicie. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. W linku również najnowsze wersje Adobe i Java.

Nazwa pliku wskazuje, że wyciągnąłeś raport FRST z folderu C:\FRST\Logs - to jest archiwum, bieżące raporty powstają zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku w folderze Pobrane. Poza tym brakuje obowiązkowych plików FRST Addition i Shortcut. Proszę wróć do konfiguracji FRST i zrób porządne logi: KLIK.

Podwójne uruchomienie jest bez sensu (nie zostanie ponownie przetworzony ten sam zestaw) i nadpisuje raport narzędzia (nie ma już danych co narzędzie wcześniej usuwało). Skoro był użyty dwa razy, dokasuj plik C:\delfix.txt. To tyle z mojej strony.

Plik raportu DelFix jest pusty... Czy DelFix został użyty więcej niż raz?