picasso
-
Postów
36 524 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez picasso
-
-
Zasady działu wyliczają jakie logi są tu obowiązkowe. Przestarzały OTL nie jest tu w ogóle brany pod uwagę i usuwam. Brakuje za to trzeciego pliku FRST Shortcut oraz raportu z GMER.
Prócz modyfikacji zrobionych przez infekcję na urządzeniu przenośnym, problemy są też w samym systemie, tzn. odpadki adware oraz zainstalowany Yet Another Cleaner (YAC) - to wysoce niepożądany program: KLIK. Akcje do wdrożenia:
1. Deinstalacje:
- Przez Panel sterowania pozbądź się YAC(Yet Another Cleaner!).
- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej.
2. Zakładam, że pendrive nadal widziany pod literą H, w przeciwnym wypadku komenda go adresująca się nie wykona. Otwórz Notatnik i wklej w nim:
CloseProcesses: CreateRestorePoint: S2 gopibeko; Brak ImagePath S2 jimocoso; C:\Program Files (x86)\3B843E2A-1440968241-864B-CB20-8851FBCA0330\jnsiE7BF.tmp [X] S1 ppfd_vt_1_10_0_22; system32\drivers\ppfd_vt_1_10_0_22.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S2 totyseku; C:\Program Files (x86)\3B843E2A-1440968241-864B-CB20-8851FBCA0330\hnsi18CF.tmp [X] S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TS888x64.sys [X] S2 vorypute; C:\Program Files (x86)\3B843E2A-1440968241-864B-CB20-8851FBCA0330\knsiD977.tmpfs [X] S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X] Task: {10430F24-385D-481A-8D6F-15E2B4F19F84} - System32\Tasks\{AED9C0C2-4A41-435E-8264-D6DF3E5E3B79} => pcalua.exe -a "F:\Nowy folder\stery win7\stery win7\sp56460.exe" -d "F:\Nowy folder\stery win7\stery win7" Task: {20AC678E-5FA2-4970-81DE-BCBC3E27C129} - System32\Tasks\{E3DFBE57-663B-44D8-90E9-4899776DEDE2} => pcalua.exe -a C:\Users\Arek\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {269A11A4-E02B-44B3-8596-8A0F66FF1972} - \YTDownloader -> Brak pliku Task: {27037F12-5040-4A9A-8B85-26ABFB917DAA} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {39E5AECD-7516-4641-8E84-CC6347A98E5E} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {3A7DD326-9B7F-4B50-B208-88DDA651D21D} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {47DE48BF-20D0-45C0-A952-87C81CB71000} - \SMupdate1 -> Brak pliku Task: {4DEB4D32-325F-40C1-A89C-832EAB8E4207} - \YTDownloaderUpd -> Brak pliku Task: {7B40D1D6-3AB0-40EB-B989-CDF493FF2EA1} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.22 Core => C:\Program Files (x86)\PhraseProfessor_1.10.0.22\Update\PhraseProfessorAutoUpdateClient.exe Task: {82AC5274-DAF1-421C-BED2-A61B4123CF98} - System32\Tasks\ME5zmXRM97s2LktHl9KXy => C:\Users\Arek\AppData\Roaming\ME5zmXRM97s2LktHl9KXy.exe Task: {A6F70DC5-BBFB-4563-B8E8-7D04BC386692} - \ShopperProJSUpd -> Brak pliku Task: {C0F2A6BF-7933-4BA1-BBC2-8033308D7A0A} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {F242AEDD-EB5F-47D5-B1EF-CDC9334ED0F1} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.22 Pending Update => C:\Program Files (x86)\PhraseProfessor_1.10.0.22\Update\PhraseProfessorAutoUpdateClient.exe Task: C:\Windows\Tasks\ME5zmXRM97s2LktHl9KXy.job => C:\Users\Arek\AppData\Roaming\ME5zmXRM97s2LktHl9KXy.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKU\S-1-5-21-2794061736-2319354765-444063797-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-2794061736-2319354765-444063797-1000\Software\Classes\exefile: HKLM-x32\...\RunOnce: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2794061736-2319354765-444063797-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130861187946300557&GUID=A67E28BA-4B7C-476B-B0ED-A5EE728BDB9C HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-2794061736-2319354765-444063797-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130861187946310557&GUID=A67E28BA-4B7C-476B-B0ED-A5EE728BDB9C SearchScopes: HKU\S-1-5-21-2794061736-2319354765-444063797-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-2794061736-2319354765-444063797-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\m0o2lkgf.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\m0o2lkgf.default\extensions\deskCutv2@gmail.com => nie znaleziono C:\Users\Arek\AppData\Roaming\ME5zmXRM97s2LktHl9KXy C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat H:\desktop.ini Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: attrib /d /s -s -h H:\* CMD: netsh advfirewall reset EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Wejdź na pendrive, powinien zostać uwidoczniony folder "bez nazwy", to w nim infekcja umieściła dane. Przenieś wszystkie poziom wyżej, a folder "bez nazwy" skasuj przez SHIFT+DEL (omija Kosz).
4. Wyczyść przeglądarki:
Firefox:
- Odłącz synchronizację (o ile włączona): KLIK.
- Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia rezeba będzie przeinstalować.
- Menu Historia > Wyczyść całą historię przeglądania.
- Odłącz synchronizację (o ile włączona): KLIK
- Ustawienia > karta Rozszerzenia > odinstaluj adware iWebar V2.1
-
System został zainfekowany robakiem VBS/Jenxcus - w starcie uruchamia się skrypt home.vbe, stąd każde podpinane urządzenie zostaje zarażone. Usuwanie obejmie dwa etapy: usunięcie infekcji z systemu oraz usunięcie jej z urządzeń przenośnych.
1. Odinstaluj Hotspot Shield 4.15.3 (zintegrowane reklamy), Java 8 Update 45 (stara wersja), Search App by Ask (niepożądany program typu adware/PUP).
2. Otwórz Notatnik i wklej w nim:
CloseProcesses: CreateRestorePoint: Startup: C:\Users\Benedykt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-09-08] () HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [home] => wscript.exe //B "C:\Users\Benedykt\AppData\Roaming\home.vbe" HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [bingSvc] => C:\Users\Benedykt\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) Task: {31B35F76-6CCA-46B3-805C-8F320061952F} - System32\Tasks\{A2362858-9A57-4169-ACC7-47B16D1B09E5} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.0.0.100&LastError=404 Task: {B0B4801C-D078-44F6-A6FD-F0EBB917CB41} - System32\Tasks\{EB46F74E-DB82-483D-BE74-3E9720EAA1F1} => Chrome.exe hxxp://ui.skype.com/ui/0/7.5.0.101/pl/abandoninstall?page=tsMain Task: {DE1B5D91-198D-4ABC-A1A0-03C7B0B7F934} - System32\Tasks\{3C58274C-BE88-4E21-87C0-E8F5478AAE6E} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.5.0.101&LastError=12002 C:\ProgramData\AskPartnerNetwork C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner Pro C:\Users\Benedykt\AppData\Local\Microsoft\BingSvc C:\Users\Benedykt\AppData\Roaming\home.vbe Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Zrób nowe logi: FRST z opcji Skanuj (Scan) - bez Addition i Shortcut - oraz USBFix z opcji Listing przy podpiętych zainfekowanych nośnikach. Dołącz też plik fixlog.txt.
-
Nie przeczytałeś zasad działu: KLIK. I na dodatek podpiąłeś się pod temat w którym inny użytkownik też był kierowany do nich! Tu nie wolno się podpinać pod cudze tematy i nie zostały dostarczone obowiązkowe logi. Proszę podać logi z FRST i GMER.
A SpyHunter to wątpliwy skaner z czarnej listy! Natychmiast pozbyć się go z systemu.
-
Była do wykonania z linka "Opcja 2. Zatrzymanie synchronizacji i wyczyszczenie danych (zresetowanie synchronizacji)". Nie wiem co tam by się pokazało, ale proces czyszczenia danych z serwera trochę trwa, może to być np. kilka dni. Dopiero po jego ukończeniu czyści się Chrome w systemie, a po tym ponownie loguje, by rozpocząć synchronizowanie czystych danych. Niemniej, skoro po deinstalacji Chrome ustały reklamy, mimo że profil został przywrócony, to już zostaw ten wątek. Miej jednak na uwadze, że strona mystartsearch.com nagle może się pojawić np. podczas opcji resetowania przeglądarki czy po jej reinstalacji.
Na teraz do wykonania te akcje:
1. Czyna pewno został odinstalowany AVG Web TuneUp? W ostatnim logu ciągle widzę jego komponenty.
2. Nie znalazłaś odpadkowego urządzenia McAfee. Upewnij się jeszcze raz, że nie zostało to przeoczone. W Menedżerze urządzeń w menu Widok ustaw pokazywanie ukrytych urządzeń i ponownie sprawdź czy nie widać "McAfee Inc. mfehidk" lub "mfehidk".
3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale bez Shortcut.
-
-
Jeśli chodzi o "skomplikowanie sprawy", to mnie w pełni zaćmiło wcześniej i bezmyślnie patrzyłam na te próby zrzucania danych. TeslaCrypt szyfruje także formaty zrzutów (dmp, raw) oraz archiwów (7z, rar, zip), co oznacza, że zebrane dane zostają zaszyfrowane przez infekcję i błędne koło. Należałoby użyć jakiś atypowy format, którego nie adresuje infekcja. Lista szyfrowanych rozszerzeń jest w opisie na Bleeping, nie wiem czy nie nastąpiły jakieś zmiany: KLIK.
Jeśli chodzi o czyszczenie systemu, to oczywiście podaj nowe raporty FRST i GMER. Zajmę się usunięciem infekcji w jej podstawowej części. Pozostanie problem zaszyfrowanych plików.
-
Myśle, że problemem jest to, że znów się zalogowałam do chrome, to konto jest mi potrzebne więc i tak ostatecznie musiałabym się zalogować.
Nie bez powodu podałam na początku, by wyczyścić dane synchronizacji, co miało na celu upewnić się, że nie ma na serwerze Google żadnych szkodliwych ustawień (Chrome z czynną synchronizacją ładuje także ustawienia adware na serwer, bo skąd ma wiedzieć co jest złe). Czyszczenie danych z serwera Google nie jest natychmiastowe i należało poczekać, a dopiero po tym ponownie logować się...
Nigdzie się nie włączają jeśli chodzi o myserch wydaje mi się że już go usunęłam, jaki log mam podesłać żeby to ponownie sprawdzić? ;D
Czy akcja została wykonana tu: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usunięcie tego adresu + przestawienie na "Otwórz stronę nowej karty"?
I ten wpis wróci ponownie z serwera Google. Ustawienia synchronizacji mają priorytet nad ustawieniami lokalnymi. Czyszczenie Google Chrome lokalnie jest tylko "tymczasowe", do czasu gdy wykonasz jakąś operację w Chrome, która synchronizuje dane.
-
"Działa" czyli to znaczy, że Adobe AIR pomyślnie odinstalowałeś? Natomiast jeśli chodzi o Hitman, to przez 30 dni jest możliwe usuwanie, widocznie kiedyś program już używałeś. Te śmieci wykryte przez Hitmana dokończy FRST. Otwórz Notatnik i wklej w nim:
DeleteKey: HKU\S-1-5-21-1042416182-98707671-1076778749-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_ EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.
-
1. Hitman dopatrzył się jeszcze dwóch szczątków adware oraz ciasteczek i to wszystko do usunięcia za pomocą programu. Natomiast wyniki "Suspicious files" pokazujące FRST do ominięcia.
2. Wracam do zaległego wątku:
Przy próbie odinstalowania adobe air, wyskakuje komunikat aby pobrać aktualny składnik odtwarzania, po pobraniu tego programu, znów pojawia się ten komunikat.
Sprawdź czy teraz po kompleksowym czyszczeniu systemu jesteś w stanie odinstalować ten program w normalny sposób.
-
Pytanie, czy na pewno nie pominięto tego kroku:
Zresetuj synchronizację (o ile włączona): KLIK.
FRST usunął cały folder Google z dysku, a po reinstalacji Chrome wskoczył identyczny profil co poprzedniego, na dodatek ze stroną startową adware mystartsearch.com, co wygląda jak załadowanie ustawień profilu z serwera.
-
Nic podejrzanego na liście procesów, wielokrotność svchost.exe jest normalna, a było to wałkowane na forum wielokrotnie, np. w tym temacie: KLIK. Ta "o połowę krótsza lista" to był prawdopodobnie wynik tego, że uruchomiłeś Menedżer zadań na domyślnych (niskich) uprawnieniach, co pokazuje tylko procesy bieżącego użytkownika. Po kliku w opcję Pokaż procesy wszystkich użytkowników następuje podniesienie uprawnień i lista robi się znacznie dłuższa.
-
Na wszelki wypadek sprawdź czy jednak w Twoim przypadku przestawienie tej opcji nie spowoduje zmian. Poza tym, nie mam już innych pomysłów, nie do końca też wiem o jakim efekcie graficznym mowa.
-
Należy ręcznie zmienić rozszerzenie pliku na *.txt lub zapisać zawartość pliku do nowego pliku o taki rozszerzeniu.
-
Przed przejściem do usunięcia zaszyfrowanych kopii, poproszę jeszcze o nowe raporty:
1. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
2. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale bez Shortcut.
-
NIS po restarcie zameldował ponownie usunięcie infekcji i pliku assassins-creed-syndicate-fix-v_1_1_30.exe
Pełna ścieżka: c:\users\tadek\desktop\assassins creed syndicate\assassins-creed-syndicate-fix-v_1_1_30.exe
Ta nazwa sugeruje, że to jakiś crack do Assassins Creed Syndicate ręcznie przez Ciebie pobrany.
Wszystko pomyślnie usunięte. Brak nowych obiektów w logu, a w Dziennikach nie nagrał się żaden nowy błąd. Kończymy:
1. Usuń folder G:\00 Raporty i logi\FRST. Następnie zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.
2. Do aktualizacji wszystkie przeglądarki. Na widoku także większe porządki na dysku, o których mówiłam.
-
Ta niemożność usunięcia folderu Google spowodowała, że na dysku nadal są stare profile Chrome. Zostaną usunięte na siłę.
1. Odinstaluj ponownie Google Chrome. Przy okazji także świeżo zainstalowany pasek AVG Web TuneUp.
2. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > wyszukaj i odinstaluj urządzenie McAfee Inc. mfehidk.
3. Otwórz Notatnik i wklej w nim:
CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-21-2789141661-186915839-826018185-1000 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2789141661-186915839-826018185-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2789141661-186915839-826018185-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\Anna\AppData\Local\Google RemoveDirectory: C:\Users\Anna\Downloads\FRST-OlderVersion Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: del /q C:\aftcqaog.sys CMd: del /q C:\Users\Anna\Desktop\01hh0y41.exe CMD: netsh advfirewall reset EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
4. Zainstaluj ponownie Google Chrome.
5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Dostarcz dane wymagane działem: KLIK.
-
Proszę nie mieszaj wątków. Problemy spoza infekcji w innym dziale. Wątek wydzielony tu: KLIK. Na tak zadane pytanie nie da się udzielić odpowiedzi. Zedytuj post, by dokładniej opisać problem i skąd to pytanie. W dziale Sieci są wymagane inne dane: KLIK. Nie wiem czy ktoś się zajmie analizą tego.
Ten temat zamykam. Sprawa potencjalnej infekcji rozwiązana.
-
Nie ma nic w zakładkach ani w ustawianiach jak wyłączyć te newsu wydaje mi się ze to jakaś aktualizacja opery jest i będzie to już na stałe.
Nie wiem co to za obiekt. Posiadam polską wersję Opera 33.0.1990.115 (tę samą co Ty) i nic takiego nie widzę. Aczkolwiek ta różnica może być wynikiem tego, że mam holenderskie IP i nawet w polskiej Operze są rzeczy orientowane konkretnie na moją holenderską lokalizację.
Czy jest taki program dzięki, które będę mógł ściągać muzykę i zostać wykryty przez niemiecką policję?
Chyba masz na myśli "i nie zostać wykrytym". Nie siedzę już od kilku lat w temacie pobierania plików, więc zupełnie się nie orientuję w tych kwestiach.
-
Czyszczenie po adware pomyślnie wykonane. Na koniec:
1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox.
2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.
Niestety facebook chodzi jeszcze gorzej.
Problem był przed reinstalacją systemu, więc to nie wygląda na sprawę strony software, o ile nie został powielony jakiś element sprzed reinstalacji. Jeszcze na wszelki wypadek sprawdź (choć wątpię), czy nie przeszkadza antywirus AVG, tymczasowo go deinstalując. O błędach oprogramowania sieciowego Realtek już mówiłam, te sterowniki Realtek są zresztą stare (skąd były pobierane?). I problem kwalifikuje się do działu Sieci.
-
Proszę o sprawdzenie logów po infekcjach wykrytych przez NIS.
NIS raportował pobieranie szkodliwego pliku i to niby zatrzymał, aczkolwiek coś nie za skuteczne to musiało być, gdyż pojawiła się niepożądana świeża instalacja "AnySend" oraz adware "QuickSearcher" w Firefox. Ponadto, w systemie jest obiekt wyglądający na infekcję złapaną znacznie wcześniej, to na pewno nie jest "GaduGadu":
HKU\S-1-5-21-3771866864-3196559225-104913496-1000\...\Run: [GaduGadu] => C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe [56472 2014-03-20] (Microsoft Corporation)
Widać też niezałatane przeglądarki w starych wersjach: Firefox 35.0.1, IE9, Opera 12.01 z krytyczną luką SSL - najnowsza wersja tej linii z łatą, choć i tak stara, to Opera 12.17. I ogólnie czas już odświeżyć zawartość całego systemu, dużo przestarzałych aplikacji. Tym to się zajmiesz na własną rękę. Ja tylko doczyszczę podstawowe rzeczy.
Dziennik systemu zawiera wiele komunikatów o błędach.
Error: (11/25/2015 02:30:22 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nazwa aplikacji powodującej błąd: ACS.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x5641d52e
Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24
Kod wyjątku: 0xc0000374
Przesunięcie błędu: 0x00000000000c4102
Identyfikator procesu powodującego błąd: 0x9d4
Godzina uruchomienia aplikacji powodującej błąd: 0xACS.exe0
Ścieżka aplikacji powodującej błąd: ACS.exe1
Ścieżka modułu powodującego błąd: ACS.exe2
Identyfikator raportu: ACS.exe3
Błąd gry Assassins Creed Syndicate, nie wiem z jakiego powodu.
Error: (11/25/2015 11:03:14 AM) (Source: Winlogon) (EventID: 4103) (User: )
Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005.
Error: (11/25/2015 01:54:06 AM) (Source: Software Protection Platform Service) (EventID: 8193) (User: )
Description: Wystąpił błąd harmonogramu aktywacji licencji (sppuinotify.dll), kod błędu:
0x80070005
Error: (11/25/2015 11:49:10 AM) (Source: DCOM) (EventID: 10001) (User: )
Description: C:\Windows\System32\slui.exe -Embedding5{F87B28F1-DA9A-4F35-8EC0-800EFCF26B83}
Te błędy wyglądają na skutki crackowania Windows.
Error: (11/25/2015 11:03:13 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi Kmm4xNT z powodu następującego błędu:
%%1275
Error: (11/25/2015 11:03:13 AM) (Source: Application Popup) (EventID: 1060) (User: )
Description: Ładowanie sterownika \SystemRoot\SysWow64\Drivers\Kmm4xNT.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika.
Przestrzały sterownik niekompatybilny z Windows x64. Już zablokowany przez system, ale i tak go usunę.
Error: (11/25/2015 11:04:00 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Ten bez znaczenia. Ale można go usunąć posługując się narzędziem Fix-it: KLIK.
Error: (11/25/2015 11:03:12 AM) (Source: Microsoft-Windows-DNS-Client) (EventID: 1012) (User: ZARZĄDZANIE NT)
Description: Wystąpił błąd podczas próby odczytu lokalnego pliku hosts.
To wygląda na nieaktualny błąd. Plik Hosts jest na miejscu.
Pod kątem czyszczenia systemu z infekcji i pustych wpisów (w tym skrótów w Menu Start):
1. Odinstaluj Adobe AIR, Adobe Flash Player 12 Plugin, Adobe Reader 6.0.1, AnySend, Browser Configuration Utility.
2. Otwórz Notatnik i wklej w nim:
CloseProcesses: CreateRestorePoint: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKU\S-1-5-21-3771866864-3196559225-104913496-1000\...\Run: [GaduGadu] => C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe [56472 2014-03-20] (Microsoft Corporation) HKLM-x32\...\Run: [bCU] => "C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe" HKLM-x32\...\Run: [JMB36X IDE Setup] => C:\Windows\RaidTool\xInsIDE.exe S2 Kmm4xNT; C:\Windows\SysWow64\Drivers\Kmm4xNT.sys [95484 2002-04-26] (DATOM Dariusz Cielebąk) S1 EIO64; system32\DRIVERS\EIO64.sys [X] S3 GPCIDrv; \??\G:\ASRock 960GM-GS3 FX\OC Guru\GPCIDrv64.sys [X] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Extension: Quick Searcher - C:\Users\Tadek\AppData\Roaming\Mozilla\Firefox\Profiles\epooierz.default-1426892647573\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-11-25] [brak podpisu cyfrowego] URLSearchHook: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 - (Brak nazwy) - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> {59FB080E-FBB8-4c50-AACB-88398E034FF2} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> {B0BECF4F-572B-46b9-A095-D36AC1ABC9D3} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku Task: {30954809-6658-42A4-82DD-1883D1890CC2} - System32\Tasks\{382B2174-4864-4D13-A091-17E28A590AEE} => pcalua.exe -a "G:\WinRAR\7-Zip 4.64 PL.exe" -d G:\WinRAR Task: {60FC499D-C7B9-448D-9BD9-AEDDED8FAEAF} - System32\Tasks\{D49BD548-9834-403E-B6B0-E3461D3CA1E5} => pcalua.exe -a H:\AutoRun\Setup32.exe -d H:\AutoRun Task: {A50169F4-58C4-4B4B-9F9F-0F53A1EC012B} - System32\Tasks\{E2F9A9ED-BA62-4F99-8807-D4C07226829D} => G:\ASUS EAH5750\AMD Catalyst\GPUTweak2_Ver1057_ 20150626\GPUTweakII.exe Task: {DE414DDA-9B66-4A03-BAEA-A65588EA60E4} - System32\Tasks\{DE85DA7A-1188-474B-ACE8-66C9A5401930} => G:\Ontrack EasyRecovery Pro\EasyRecovery.exe StandardProfile\AuthorizedApplications: [C:\Windows\explorers.exe] => Enabled:explorers C:\Program Files (x86)\Temp C:\ProgramData\desktop.ini C:\ProgramData\mazuki.dll C:\ProgramData\Nero C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ARMA 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AC3 Splitter\009soft.com.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AC3Filter\Documentation (rus)\AC3Filter & SPDIF.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Assassins Creed Syndicate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Catalyst Control Center C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CI Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD2SVCD Software bundle C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DYNALOG limited C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EasyRecovery Professional C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PocketRAR C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rebellion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Słownik ortograficzny PWN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SQUARE ENIX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StrongRecovery 2.1\Help.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StrongRecovery 2.1\History.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual*.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VSO\ConvertXtoDVD 5\ Sterowniki C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VSO\DVD Converter Ultimate 3\ Sterowniki C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VSO\VSO Video Converter 1\ Sterowniki C:\Users\Tadek\ves.dat C:\Users\Tadek\AppData\Local\user_data.ini C:\Users\Tadek\AppData\Roaming\PStrip.* C:\Users\Tadek\AppData\Roaming\Tadekv1.18.0 - Trial versionlog.dat C:\Users\Tadek\AppData\Roaming\winamp5571_pro_all.exe C:\Users\Tadek\AppData\Roaming\ASPackage C:\Users\Tadek\AppData\Roaming\Opera Software C:\Users\Tadek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Games.lnk C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBF Viewer 2000 C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Whispered Secrets - The Story of Tideville - Collector's Edition C:\Users\Tadek\Desktop\MULTIMEDIA\Google Chrome.lnk C:\Users\Tadek\Desktop\MULTIMEDIA\Mozilla Thunderbird.lnk C:\Users\Tadek\Desktop\MULTIMEDIA\Origin.lnk C:\Users\Tadek\Desktop\MULTIMEDIA\YouTube Player.lnk C:\Users\Tadek\Desktop\NARZĘDZIA\Adobe Reader 6.0.lnk C:\Users\Tadek\Desktop\NARZĘDZIA\Nero\Nero*.lnk C:\Users\Tadek\Desktop\NARZĘDZIA\BURN\Express Burn.lnk C:\Users\Tadek\Desktop\Sprzęt\EasyRecovery Professional.lnk C:\Users\Tadek\Desktop\Sprzęt\mIRC.lnk C:\Users\Tadek\Desktop\Sprzęt\Onis 2.5.lnk C:\Users\Tadek\Desktop\Sprzęt\Ontrack Crisis Center.lnk C:\Users\Tadek\Desktop\Sprzęt\XFast USB.LNK C:\Users\Tadek\Desktop\Sprzęt\OC Guru\GIGABYTE OC GURU.lnk C:\Users\Tadek\Desktop\Sprzęt\GT630\ASRock OC Tuner.lnk C:\Users\Tadek\Documents\MAGIX\Video deluxe 2013 Plus\*.lnk C:\Windows\SysWow64\Drivers\Kmm4xNT.sys File: C:\Windows\system32\User32.dll File: C:\Windows\SysWOW64\User32.dll Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > w sekcji Dzienniki systemu Windows wyczyść z prawokliku gałęzie Aplikacja i System, a w sekcji Dzienniki aplikacji i usług > Microsoft > Windows wyczyść CodeIntegrity. Po akcji zresetuj system, by nagrały się tylko bieżące błędy.
4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
1. MBAM wykrył kolejne szczątki adware. Wszystko usuń za pomocą programu. Program zostaw sobie w systemie do skanów na żądanie.
2. Dla pewności zrób jeszcze skan za pomocą Hitman Pro. Nic nie usuwaj, tylko dostarcz log z wynikami. -
Fix FRST pomyśnie wykonany. Skasuj pobrane FRST i GMER, ich logi, oraz folder C:\FRST.
To tyle. -
Mi chodziło o to jak skonfigurować ublocka by nawet na innych stronach blokował podejrzane reklamy itp.
Nie ma tu ogólnej zasady jak skonfigurować tak by "wszystko i wszędzie" było zablokowane, nie jest po prostu możliwym przewidzieć wszystkie możliwe scenariusze. Jeśli konfiguracja domyślna okaże się nie wystarczająca (coś nie zostanie zablokowane), to wtedy w ustawieniach do wertowania zestaw stosowanych filtrów, w razie potrzeby możesz dołożyć dodatkowe nie zaznaczone. I czy masz wybrany filtr orientowany na polskie strony: POL: polskie filtry do Adblocka i uBlocka? Poza tym, posiadasz MBAM z czynnym rezydentem, który działa na innym bardziej kompleksowym poziomie niż rozszerzenie w Operze.
Nie nie ma takiej opcji by usunąć te wiadomości ale to już mogę sobie odpuścić bo przestaje mi to przeszkadzać.Nie wiem o co chodzi. U mnie w Operze takie coś nie występuje i jestem w stanie ogołocić całą planszę Speed Dial. Sprawdź czy nie ma przypadkiem opcji usuwania tego w menedżerze zakładek: w pasku adresów wklep browser://bookmarks i przejrzyj sekcje Szybkie wybieranie + Inne strony szybkiego wybierania.
Czy jest jakiś program typu SufrEasy VPN, który chroni komputer w taki sam sposób lub podobny i jest darmowy. A przede wszystkim pytanie czy jest to mi aby na pewno potrzebne.Jak zaznaczyłam, to "opcjonalna propozycja", czyli nie jest to konieczne.
Irytujące strony internetowe i detekcje URL:Mal
w Dział pomocy doraźnej
Opublikowano
Wymazałam z Twojego posta podkreślenie wytworzone przez adware. Problem tworzy adware WordFly, a log sugeruje że zostało zainstalowane w trakcie pobierania FormatFactory. Wykonaj następujące operacje:
1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware WordFly 1.10.0.28.
2. W Google Chrome:
- Zresetuj synchronizację (o ile włączona): KLIK.
- Ustawienia > karta Rozszerzenia > odinstaluj sponsorowany Avast SafePrice.
- Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy mystartsearch.com, home.sweetim.com, start.qone8.com, oursurfing.com i przestaw na "Otwórz stronę nowej karty"
- Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres oursurfing.com
3. Otwórz Notatnik i wklej w nim:Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił.